modsecurity黑名单

最新推荐文章于 2024-07-22 07:00:00 发布
最新推荐文章于 2024-07-22 07:00:00 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 网络安全
原文链接:http://blog.itpub.net/31537832/viewspace-2689109/
版权

百度ip, 查询出口 ip ,编辑 /usr/local/nginx/conf/modsecurity/modsecurity.conf 文件 ( 也可以自定义一个文件 , 在自定义文件里加入规则集,防止破坏原生的 modsecurity.conf 文件 ) 。

# 黑名单拦截规则:

SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1238,phase:1,log,auditlog,deny,status:403"

   { REMOTE_ADDR   远程地址, 访问者 ip }

# 黑名单拦截加重定向规则:

  SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1239,phase:1,log,auditlog, redirect:http://modsecurity.cn/practice/intercept.html "

# 取消某个规则 ID :

1 、 49.234.128.215/?id=1 AND 1=1 ( 模拟简单的 SQL 注入 )

2、 SecRuleRemoveById 949110

# 白名单释放规则:

SecRule REMOTE_ADDR "@ipMatch 220.112.124.125" "id:1000,phase:1,pass,nolog,ctl:ruleEngine=Off"

{  Ctl 改变当前事务的配置 (ctl 临时修改 ModSecurity 配置 ) 例如 = 》 ctl:ruleEngine=off   代表关闭拦截模式,所有规则失效。 }

(二、 规则检测模式)

传统检测模式- 自主规则 :

   传统检测模式所有规则都是“闭环”的模式;规则之间不共享信息。它仅使用其当前的单个规则逻辑进行检测。如果规则触发,它将执行当前规则中指定的中断 / 记录日志操作。

   优点 :速度快(因为直接阻断了,停止进一步处理)。

   缺点 :误报/ 漏报率比较高。

 

异常评分检测模式 - 协作规则概念:

   这种改进的检测模式的核心理念是实施协作检测和延迟阻塞。它会进行事务性异常评分记录。

   另外,每个规则还将存储关于每个规则匹配的元数据(例如规则ID ,攻击类别,匹配位置和匹配数据)在唯一 TX 变量内。

   使用ModSecurity 的 setvar 动作增加异常分数。

 

·    Critical : 异常得分5 ,表示可能应用程序攻击,主要由 93x 94x 文件生成。

·    Error : 异常得分4 ,表示可能数据泄露,主要有 95x 文件生成,暂不支持 nginx 和 nginx plus 。

·    Warning : 异常得分3 ,表示可能恶意客户端,主要由 91x 文件生成的。

·    Notice: 异常得分2 ,表示可能违反协议,主要由 92x 文件生成。

以图种的 critical 为例: 严格等级为“ critical ”的每个 CRS 规则都会将每次规则匹配的事务异常分数提高 5 分。

   优点 :

      允许用户设置适合他们的阈值 - 不同的网站可能有不同的阻止阈值。

      对阻止的信心增加 - 由于更多检测规则导致异常评分,评分越高,您越有信心阻止恶意事务。

   缺点 :

     对于普通用户来说使用更为复杂。

日志监控脚本可能需要不断更新才能正确分析。

攻击操作 :

1 、 49.234.128.215/?id=1 AND 1=1 ( 模拟简单的 SQL 注入 )

接着分析日志以及crs-setup 脚本文件:

 

2、 更改阈值,编辑crs-setup.conf 文件(变为传统模式)

 

猿进化
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2478
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
WAF简介以及ModSecurity安装
weixin_64655821的博客
09-28 2088
WAF简介以及ModSecurity安装
使用ModSecurity阻止IP
04-04
使用mod_security阻止任意数量的IP地址。 我们可以动态地做到这一点,而不必每次都重新启动Apache Web服务器。
modSecurity
07-10
modSecurity 2.6 source code modSecurity 2.5 manual 整理放在这方便大家下载,一个资源分意思下,没资源分的话,呵呵,网上也是能下到的,稍微麻烦些
【DevOps】ModSecurity深入解析:强大的开源Web应用防火墙
最新发布
Coder加油站的专栏
07-22 5258
ModSecurity是一个开源的、跨平台的Web应用程序防火墙(WAF)引擎。它最初是作为Apache HTTP服务器的一个模块开发的,现在已经可以作为独立程序运行,也可以集成到其他Web服务器中,如Nginx和IIS等。ModSecurity的主要目标是保护Web应用程序免受各种攻击,提高Web应用的安全性。它通过实时监控HTTP流量,对请求进行分析和过滤,来检测和阻止潜在的恶意活动。实时流量监控和访问控制虚拟补丁功能,快速修复Web应用漏洞完整的HTTP流量日志记录持续的安全评估。
mod_security
07-27
mod_securitymod_securitymod_security
ModSecurity 白名单设置
weixin_33725515的博客
04-19 1269
方法一、SecRuleRemoveById 指令:通过Rule ID禁用指定规则 #waf whitelist <LocationMatch .*> SecRuleRemoveById 960017 #allow Host Header is a IP address </LocationMatch> 方法...
modsecurity2.9.3
02-01
4. 支持黑名单和白名单:ModSecurity允许管理员定义黑名单和白名单,以控制哪些请求被阻止或允许通过。 5. 支持自定义规则:管理员可以根据自己的需求编写自定义规则,以适应特定的应用程序和环境。
ModSecurity介绍
热门推荐
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
modsecurity 安装ubuntu
09-19
要在Ubuntu上安装...使用文本编辑器(如vim)打开modsecurity.conf文件,并进行以下更改:将SecRuleEngine的值改为on,并根据参考文档添加黑名单规则。保存并关闭文件。现在,您可以继续安装ModSecurity-nginx。
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecurity与nginx一起使用,需要此连接器。 ModSecurity-nginx连接器采用nginx模块的形式。 该模块只是充当nginx和ModSecurity之间的通信层。 请注意,该项目依赖于libmodsecurity而不是ModSecurity(2.9版或更低版本)。 此项目与nginx的旧ModSecurity加载项有什么区别? 旧版本使用独立的ModSecurity,它是Apache内部组件的包装器,用于将ModSecurity链接到nginx。 当前版本更接近nginx,使用了新的libmodsecurity,它不再依赖于Apache。
ModSecurity中文使用手册
03-08
ModSecurity是一个WEB应用防火墙引擎,自身所提供的保护非常少。为了变得更有用些,ModSecurity必须启用规则配置。为了让用户能够充分利用ModSecurity离开方块,Breach Security, Inc.为ModSecurity 2.x提供了一套免费的认证规则集。和入侵检测及防御系统不一样,它们依赖于具体的签名过的已知漏洞,而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保护,通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论,从而使得这些能够被用来做ModSecurity的部署向导。
ModSecurity Handbook使用手册
07-10
ModSecurity Handbook使用手册 英文原版的哦,免费奉献给大家 Modsecurity for Apache 用户手册 介绍 Modsecurity 是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击. ModSecurity 和web服务器结合,增强web服务器抗攻击的能力.一些只得关注的功能说明: l 过滤请求:在web服务器或者其他模块获得handled之前, 按照原来的样子分析进入的请求.(严格的说,在这种嵌入式的操作里面,有一些操作在没有到达ModSecurity之前不可避免的进行了一些操作.) l Anti-evasion 技术: paths and parameters are normalised before analysis takes place in order to fight evasion techniques. l 了解HTTP协议:引擎获得了http的协议后,将进行非常详细的颗粒过滤.例如,它可以查看任何一个单独的参数,或者是制定的cookie值. l POST 有效负载分析:这个引擎能够截取传送的内容使用POST方法. l 审计记录:能够详细的记录每一个请求(包括POST)可以被用在法律分析上. l HTTPS 过滤:当这个引擎被嵌入到web服务器中后,可以有权访问解密后的数据请求. l 过滤被压缩的内容:和上面一样,安全引擎可以有权访问到被解压缩后的内容. ModSecurity 能够被用于发现攻击,或者是发现和阻止攻击.
在WordPress中编辑帖子时,mod_security阻止了我的IP
一名可爱的技术搬运工
05-24 339
在WordPress编辑器中进行编辑后,几分钟后,我的IP将被mod_security自动阻止,并将其放入防火墙拒绝访问列表中,并且日志显示安全问题“ 最近300秒内为5 ”。 lfd: (mod_security) mod_security triggered by xx.xx.xx.xx (MY/Malaysia/-): 5 in the last 300 secs 为了快速...
Mod_Security介绍
qq_33557485的博客
07-13 3499
官方介绍地址:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Introduction 一.简介 mod_security就是一个开源的WAF。特色是完整的http流量记录。提供实时的监控和攻击检测。(基于http的实时监控) (一)常用方式: 消极消极安全模型。监控异常请求,异常行为和常...
ModSecurity规则
专注企业信息安全-sec
05-04 5665
中文译文参考:http://netsecurity.51cto.com/art/201407/446264.htm 英文原文参考:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ 根据最新实践调整里面的细节内容,图片内容未调整: 0x00 背景 ModSecurity...
使用mod_security保护网页服务器
jiangxinyu的专栏
01-04 1102
使用mod_security保护网页服务器 作者: techrepublic.com.com2006-12-07 09:46 AM  
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 3078
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值