【网络安全】如何在Apache 安装开源 WAF

最新推荐文章于 2023-04-26 00:32:32 发布
最新推荐文章于 2023-04-26 00:32:32 发布
阅读量1k 收藏 4
点赞数
文章标签: web安全 apache 网络安全 渗透测试 waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kali_Ma/article/details/127271830
版权

说明:
本文以Windows环境下的Apache安装mod_security为例,
介绍开源WAF产品的安装使用。

http://www.modsecurity.cn/
https://github.com/SpiderLabs/ModSecurity

一、WAF基本介绍

WAF全称Web Application Firewall,即Web应用防火墙。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,跟网络防火墙的作用不同。

WAF的使用场景:
例如服务器中有些安全性比较差的应用程序,比如旧版的wordpress、discuz、phpwind等,审计和修改全部代码比较麻烦,这时候最好的办法就是通过部署WAF来实现安全防护。

WAF可以防护的常见风险包括:SQL注入、XSS、利用本地/远程文件包含漏洞进行攻击、PHP代码注入、黑客扫描网站、源代码/错误信息泄露等等。

目前市面上的WAF非常多,总体上可以分成3类:
硬件型WAF(厂商安装)、云WAF(比如阿里云腾讯云华为云的WAF,购买服务)、软件型WAF(可以部署在Apache、Nginx等HTTPServer中,有很多开源的产品)。

二、下载mod_security

下载和安装Apache的步骤参考:《02-Windows安装phpstudy》。

如果使用phpstudy内置的Apache,Apache文件在Extensions目录下,如:E:\phpstudy_pro\Extensions\Apache2.4.39

1、下载mod_security

下载mod_security,根据操作系统位数选择,win64是64位,win32是32位。
https://www.apachelounge.com/download/
image.png

【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

解压 mod_security-2.9.3-win64-VS16.zip,复制两个文件:
1)复制 mod_security2.so 到 apache/modules 文件夹
2)复制 yajl.dll 到 apache/bin 文件夹
image.png

2、修改 Aapche 配置文件

修改 Apache2.4.39\conf\httpd.conf
主要修改内容(没有就加上,有就取消注释,放在相同的模块附近):
取消注释:

LoadModule security2_module modules/mod_security2.so

下面添加一行:

LoadModule unique_id_module modules/mod_unique_id.so

image.png

添加

Include conf/modsecurity/*.conf

image.png

3、修改 modsecutiry 配置文件

打开 mod_security-2.9.3-win64-VS16\mod_security-2.9.3\mod_security
复制一个 modsecurity.conf-recommended,改名为
modsecurity.conf

在 Apache2.4.39\conf 下创建一个文件夹,命名为 modsecurity
把 modsecurity.conf 放在 modsecurity 文件夹下
image.png
modsecurity.conf 修改/添加两行配置:

SecRuleEngine On
SecDefaultAction "deny,phase:2,status:403"

image.png
此处含义是开启安全规则引擎,如果触发规则,默认防护措施是
返回 HTTP 403 错误。
修改日志路径,否则 Apache 启动会报路径不存在的错误:

SecAuditLog E:\phpstudy_pro\Extensions\Apache2.4.39\logs\modsec_audit.log

image.png
image.png
因为没有 unicode.mapping 文件,这一行要注释

SecUnicodeMapFile unicode.mapping 20127

image.png

三、添加 owasp 规则

1、下载规则文件

https://github.com/SpiderLabs/owasp-modsecurity-crs
image.png

2、配置规则

解压 owasp-modsecurity-crs-3.2.0,把 rules 文件夹复制到
Apache2.439\conf\modsecurity 目录下
复 制 crs 根 目 录 下 的 crs-setup.conf.example , 重 命 名 为
crs-setup.conf,放在 Apache2.4.39\conf\modsecurity 目录下
image.png

3、修改 httpd.conf

Apache2.4.39\conf\httpd.conf 再添加下面这一行(第一行前面
添加过了):

Include conf/modsecurity/rules/*.conf

image.png

4、重启 Apache

所有配置修改完以后重启 Apache。

5、测试注入

这时候尝试注入,返回 phpstudy 的 403 页面:
image.png
如果sqlmap 也无法注入:

sqlmap --purge     (先清空缓存)

sqlmap.py -u http://localhost/school/url.php?id=1

image.png
结果显示有 75 次 403 禁止访问的错误。

kali_Ma
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全WAF攻防实战笔记
09-21
网络安全WAF攻防实战笔记,行业大神学习总结。 这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但更重要的是思路,有一些思路让我至今觉得非常有意思。 当你掌握了一定的攻防技巧,你就会发现不断的去突破防御、绕过各种限制,会是一件非常有意思的事情。 如果你按照这份文档里介绍的各种的技巧和思路,依然还没有绕过WAF,那么你需要做的就是,去发现那些尚未被挖掘的特性。 在攻防的世界里,就是在一直突破,从未有过极限!
如何安装配置Apache中的mod_security和mod_evasive
claytang的博客
04-24 5791
Apache网站服务器而言,即便不是所有专家,至少也是绝大多数专家一致认为,mod_security和mod_evasive是两个非常重要的模块,可以保护Apache网站服务器远离常见的威胁。作者:布加迪编译来源:51CTO.com|2014-09-29 09:01收藏分享有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研网站服务器安全是个大话题;说到什么是加固某一台网站服务...
modsecurity3.0安装部署
Eric
10-16 1412
Centos7.4 modsecurity with nginx 安装 1.安装依赖 yum install -y pcre pcre-devel openssl openssl-devel libtool libtool-ltdl-devel gcc gcc-c++ gcc-g77 autoconf automake geoip geip-devel libcurl libcurl-devel yajl yajl-devel lmdb-devel ssdeep-devel lua-devel 2
漏洞扫描工具OWASP ZAP的下载、安装、使用教程
qq_37776764的博客
04-26 7895
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(超详细)
Windows安装Apache后的一些设置
http://ysir.me
09-01 377
Windows在开启防火墙后让其他电脑ping通本机 1.打开控制面板 - 系统和安全 - Windows防火墙 - 高级设置 - 入站规则 2.找到文件和打印机共享(回显请求 - ICMPv4-ln)2个,ipv4的 3.右键启用规则就可以ping通了 局域网无法通过192.168.x.x的方式访问服务器(403) 1.打开控制面板 - 系统和安全 - Windows防火墙 -
php-waf合集
12-24
PHP Web Application Firewall(WAF)是一种网络安全工具,用于保护基于PHP构建的网站免受各种攻击。它通过过滤输入数据、检查HTTP请求和响应来防止恶意活动,如SQL注入、跨站脚本(XSS)、文件包含漏洞等。这个...
waf-fle_0.6.4.tar.gz
12-11
1. **Web Application Firewall (WAF)**:WAF是一种网络安全解决方案,部署在Web服务器前,检测并阻止针对Web应用程序的攻击。它通过执行预定义的安全策略来实现这一目的。 2. **ModSecurity**:ModSecurity是一款...
「Linux」构建网络空间和平共处规则的思考 - 安全运维.zip
11-09
在Linux环境中,配置和管理WAF可以有效增强服务器防护能力,例如使用ModSecurity或者NAXSI等开源WAF模块集成到Apache或Nginx服务器中。 其次,网站安全是整个网络安全的重要组成部分。对于运行在Linux上的Web服务,...
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
Struts 2是一款基于Java的开源MVC框架,它在Web应用开发中广泛使用,但同时也因其复杂的架构和历史遗留问题,成为了网络安全的焦点。这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别...
Apache下ModSecurity的安装启用与配置
09-15
主要介绍了Apache下ModSecurity的安装启用与配置,需要的朋友可以参考下
owasp测试指南--安全编码规范中文版
04-16
owasp测试指南中文版--安全编码规范中文版--如何防止开发的程序中存在安全漏洞隐患请看这个pdf吧
Web应用安全:使上传文件在服务器上作为脚本执行文本.docx
06-18
【Web应用安全】上传文件作为脚本执行是一个重要的网络安全议题,尤其在开发Web应用程序时,必须严格防范此类漏洞。此话题涉及到多个方面,包括但不限于文件上传校验的漏洞利用、绕过策略,以及常见的脚本类型及其...
C/C++开发,基于cectd源码打造etcd数据库的win/linux静态编译的c-SDK包
技术需要分享
05-19 1032
目前市面上满足c/c++的etcd-client-SDK不多,支持win的更寥寥无几,为了实现支持c/c++访问etcd的跨平台和快速移植的 sdk包,在源码cetcd包基础上做进一步调整,满足win/linux支持静态编译的etcd-c-client-SDK包。 首先提供开源cetcd包源码下载网址:https://gitee.com/mirrors/cetcd ,该源码包已经实现了linux下可编译动静态库,但需要动态链接第三方库。下面给出具体改造过程: 【1】下载源码 1)先下载开源cetcd源
2. Apache 安装 WAF
huanghuitan的博客
08-19 1293
Apache安全防护WAF安装配置mod_security模块 在不改动现有系统任何代码的前提下,防止SQL注入 比如下面这个场景:服务器中难免有些安全性比较差的程序,或者某个程序在SQL处理上,没有使用参数查询,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。 安装配置 http://www.apachelounge.com/download/ 首先安装Apache 2.4 和相应版本mod_security 解压后,里面有两个文件夹
网络安全】如何在 Apache 安装开源 WAF
zxcvbnmasdflzl的博客
01-08 345
WAF 全称 Web Application Firewall,即 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品,跟网络防火墙的作用不同。WAF 的使用场景:例如服务器中有些安全性比较差的应用程序,比如旧版的 wordpress、discuz、phpwind 等,审计和修改全部代码比较麻烦,这时候最好的办法就是通过部署 WAF 来实现安全防护。
owasp crs规则集
focus on security
03-15 1173
OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWAS...
WAF是如何被绕过的?
hackzkaq的博客
11-19 871
作者:掌控安全学员-暗箭 欢迎关注公众号:掌控安全EDU 不知不觉来到掌控学院也快两个月了,想起俩个月前,从零开始,一步一个脚印的走到现在。 虽然有时很疲惫,但是却很快乐。 在下才疏学浅,仅在这里发表一下不成熟的见解,希望对大家的提升有所帮助 首先我们要了解什么是waf: Web应用防火墙,Web Application Firewall的简称 我们口头相谈的waf有什么功能呢? WAF可以发现和拦截各类Web层面的攻击,记录攻击日志,实时预警提醒,在Web应 用本身存在缺陷的情况下保障其安全。 但是,.
网络安全WAF是什么?
最新发布
03-11
网络安全WAF(Web Application Firewall)是一种用于保Web应用程序免受各种网络攻击的安全设备或服务。它通过监控、过滤和阻止对Web应用程序的恶意流量和攻击,提供了一层额外的安全防护。 WAF可以检测和阻止常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值