owasp crs规则集

已于 2023-09-05 10:10:53 修改
阅读量1.1k 收藏
点赞数
文章标签: 安全
于 2020-03-15 17:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/104881714
版权

OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。

为此,OWASP组织编写整理《OWASP WEB应用防火墙测评基准》,该基准是目前全球最全面的针对WEB应用防火墙的认证,覆盖了WAF产品测试的各个方面,从检测能力、防御能力、性能、自身安全、易用性等多个方面的综合测试。获取该认证说明WAF产品其安全性和可信性就越高,产品也更符合WEB网站安全防护要求,同时也适用更高级别的风险环境。

参考

Building the WAF test harness | Fastly

Imperva Web Application Firewall (WAF) | App & API Protection

https://www.nsslabs.com/index.cfm/research-advisory/library/content-security/web-application-firewalls/waf-test-methodology-v6-2/waf-test-methodology-v6-2/

https://github.com/fastly/ftw

什么是CSR规则

ModSecurity是一个免费、开源的Web(apache、nginx、IIS)模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击

OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。ModSecurity之所以强大就在于OWASP提供的规则,可以根据自己的需求选择不同的规则,当然ModSecurity还有商用的规则

OWASP规则集: https://github.com/SpiderLabs/owasp-modsecurity-crs

securitysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
secrules-parser:ModSecurity CRS规则解析器(项目已移至CRS-support:请参阅https:github.comCRS-supportsecrules_parsing)
02-04
OWASP CRS规则解析器 不完整的解析器模型和示例应用程序,用于解析。 它使用python库进行解析。 如何使用它: 初始化子模块(获取CRS规则): git submodule init git submodule update cd owasp-modsecurity-crs; git checkout v3.1/dev; cd .. 安装依赖项依赖项可以在系统范围内安装,也可以只为您的用户安装(使用--user )。 系统范围: sudo pip install -r requirements.txt 用户: pip install --user -r requirements
owasp crs规则评分阈值调试记录
focus on security
05-25 2026
Crs规则中默认inbound_anomaly_score_threshold=5阈值5 paranoia_level=1 严格等级默认为1,调高会匹配高等级规则 critical_anomaly_score=5命中严重异常规则的请求会加5分 error_anomaly_score=4 命中错误异常规则的请求会加4分 warning_anomaly_score=3 命中警告异常的请求会加3分 notice_anomaly_score=2 命中提示异常的请求会加2分 全部采用默认配置,选用全部默认
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 3025
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
owasp core rules sets规则深度分析与测试
focus on security
01-06 2860
对使用者而言,考察一款WAF的有效性,最关键的一点就是攻击的防御情况,我们看看ModSecurity对漏洞防御的checklist 扫描器scanner 恶意爬虫crawler webshell(Trojans) shell上传:见文件上传 shell连接:get/post/cookie SQLi/BlindSQLI(ReflectedSQLi,StoredSQLi) GET POST Refer...
OWASP-XSS预防规则
Artisan_w
11-03 853
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第一条规则是拒绝所有- 不要将不受信任的数据放入您的 HTML 文档,除非它位于规则 #1 到规则 #5 中定义的插槽之一内。规则 #0 的原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。我们想不出有什么好的理由将不受信任
ModSecurity OWASP 规则说明
5L2g556F5ZWl77yf
03-25 1210
1.OWASP文件用途 1.1 基本规则 modsecurity_crs_20_protocol_violations.confHTTP协议规范相关规则 modsecurity_crs_21_protocol_anomalies.confHTTP协议规范相关规则 modsecurity_crs_23_request_limits.confHTTP协议大小长度限制相关规则 modsecurity_...
pixi-crs:带有Pixi的CI管道,WAF OWASP核心规则和TestCafe测试
05-10
该存储库将WAF ModSecurity与OWASP ModSecurity核心规则CRS成在一起,并将其测试成到不同的CI Pipelines中。 当前,实现了以下管道: CircleCI AWS Google Cloud Provider Azure管道GitHub动作CI管道测试...
OWASP ModSecurity Core Rule Set 讲解PPT 英文版
03-01
该PPT是英文讲解PPT,较为系统的介绍了ModSecurity 和CSR语法规则等。
waf_testbed:厨师食谱,其中规定了apache + mod_security + owasp-crs
05-12
本菜谱将提供OWASP核心规则的apache2,modsecurity和版本3.0.2。 此外,本菜谱还将为HTTP / HTTPS提供服务。 除了OWASP核心规则回归测试(以下链接的项目)之外,本指南还安装了WAF测试框架(FTW)软件包。 ...
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule Set(CRS)映像
05-19
核心规则CRS)是一组与ModSecurity或兼容的Web应用程序防火墙一起使用的通用攻击检测规则。 ModSecurity是适用于Apache,IIS和Nginx的开源,跨平台Web应用程序防火墙(WAF)引擎。 建造 映像构建需要make ,或者...
Web 应用防火墙:Modsecurity 和核心规则
allway2的博客
08-29 3832
通过将其成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感数据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
OWASP安全编码规范快速参考指南
煜铭2011
10-09 5098
0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具体的技术控制,以 缓解 常见软件 漏洞 的发生。虽然主要的关注点是 Web应用程序及其配套的基础设施
OWASP 安全编码规范 快速参考指南
Websec
11-27 1743
原文pdf:http://www.owasp.org.cn/owasp-project/download/OWASP_SCP_Quick_Reference_GuideChinese.pdf 1、序言 本项目与技术无关的文档以清单列表的形式,定义了一套可以成到软件开发生命周期中的通 用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。 一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉 及到因为安全问题而造成的损失。 保护关键软件资源的安全性,比以往任...
docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙
最新发布
2301_76429513的博客
08-13 691
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知了。ModSecurity目前依然是开源,免费的WAF一哥,我们就先用着吧,商业WAF费用太贵。
配置OWASP的ModSecurity规则
arthur2612的博客
11-03 445
1、下载OWASP的ModSecurity规则 cd /etc/httpd git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.gitmv owasp-modsecurity-crs modsecurity-crscd modsecurity-crsmv modsecurity_crs_10_setup.co...
Edgio赞助OWASP ModSecurity CRS,进一步推动以OWASP核心规则为基础的高级应用安全发展
jovichan76的博客
02-18 145
Edgio的首席技术官Ajay Kapur说:"如今网络威胁形势不断演变,在Edgio,我们不断创新,以帮助我们的客户通过360度保护其应用程序,在威胁发生之前提供全方位保护。其先进的安全解决方案提供全方位的网络和应用DDoS保护、网络应用和API保护(WAAP)、以机器学习驱动的高级Bot 管理和独特的双WAAP模式。关于Edgio的安全产品的更多信息,请点击这里。在OWASP CRS规则的基础上,Edgio的管理规则可提供鲁棒性保护,为广泛的通用和特定应用程序的漏洞提供强大的保护。
一个不错的开源WAF-配置ModSecurity防火墙与OWASP规则
weixin_33973609的博客
02-07 807
0x00 背景ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***.OWASP是一个安全社区,开发和维护着一套免费...
php采绕过cloudflare,绕过CloudFlare WAF和ModSecurity OWASP CRS3核心规则的技巧介绍...
weixin_32052253的博客
03-19 945
Web应用防火墙通常会被部署在Web客户端与Web服务器之间,以过滤来自服务器的恶意流量。而作为一名渗透测试人员,想要更好的突破目标系统,就必须要了解目标系统的WAF规则,以及想办法绕过该规则。本文将以CloudFlare WAF和ModSecurity OWASP CRS3为例,为大家进行演示如何使用未初始化的Bash变量,来绕过基于WAF正则表达式的过滤器和模式匹配。未初始化变量在之前两篇关于...
开源OWASP CRS规则
ducc20180301的博客
11-09 693
一、OWASP介绍 OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值