一、Modsecurity规则语法示例
SecRule是ModSecurity主要的指令,用于创建安全规则。其基本语法如下:
SecRule VARIABLES OPERATOR [ACTIONS]
-
VARIABLES
代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。
-
OPERATOR
代表操作符,一般用来定义安全规则的匹配条件。常见的操作符包括:@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)等。
-
ACTIONS
代表响应动作,一般用来定义数据包被规则命中后的响应动作。常见的动作包括:deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。
值得注意的是,如需获取更加深入的语法,请参考官方手册。由于本实验中涉及到了自定义安全规则,故将其中涉及到的三条规则做详细说明,如下:
规则1:防XSS攻击
SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404"
-
VARIABLES
ARGS:所有请求参数;REQUEST_HEADERS:请求数据头部。
-
OPERATOR
@rx <script>:如果正则匹配字符串"<script>"成功,则规则执行。
-
ACTIONS
id:001规定该条规则编号为001;msg: 'XSS Attack'代表记录信息为:XSS Attack;severity:ERROR表示严重程度为ERROR;deny表示拒绝所有请求包;status:404表示服务器响应状态编号为404。
说明:严重程度分为8级: EMERGENCY (0)、ALERT (1)、CRITICAL (2)、ERROR (3)、WARNING (4)、NOTICE (5)、INFO