ModSecurity规则分析(一)

最新推荐文章于 2024-07-22 07:00:00 发布
最新推荐文章于 2024-07-22 07:00:00 发布
阅读量562 收藏
点赞数
分类专栏: 网络安全 NodeJS编程实战 文章标签: 正则表达式 javascript js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/115693574
版权
本文详细分析了OWASP ModSecurity CRS 3.3-dev中的正则规则,用于识别数据库名探测。规则复杂,涉及多种数据库如MySQL、PostgreSQL、SQLite等,以及系统表和信息模式。通过示例代码解释了规则如何匹配数据库名称,并提供了加密代码以保护规则和逻辑不被轻易解读。
摘要由CSDN通过智能技术生成

分析目标:

owasp-modsecurity-crs-3.3-dev的正则规则。

规则类型:

正则表达式

用途:

识别数据库名探测的规则:

原规则:

"@rx (?i:\b(?:(?:m(?:s(?:ys(?:ac(?:cess(?:objects|storage|xml)|es)|(?:relationship|object|querie)s|modules2?)|db)|aster\.\.sysdatabases|ysql\.db)|pg_(?:catalog|toast)|information_schema|northwind|tempdb)\b|s(?:(?:ys(?:\.database_name|aux)|qlite(?:_temp)?_master)\b|chema(?:_name\b|\W*\())|d(?:atabas|b_nam)e\W*\())"

规则出处:

ModSecurity规则分析(一)

 

规则内容:

ModSecurity规则分析(一)

 

对应的data文件内容:

注:即上述规则,是以下文件内容的整合,将以下多条正则语句,合成了上面一条规则。

ModSecurity规则分析(一)

 

但合成后的规则,比单独的规则复杂了很多。

要理解规则含义,需要细细分析。

分析结果:

ModSecurity规则分析(一)

 

测试例程:

//规则说明:
//匹配检测数据库名称

var regexp = /\b(?:(?:m(?:s(?:ys(?:ac(?:cess(?:objects|storage|xml)|es)|(?:relationship|object|querie)s|modules2?)|db)|aster\.\.sysdatabases|ysql\.db)|pg_(?:catalog|toast)|information_schema|northwind|tempdb)\b|s(?:(?:ys(?:\.database_name|aux)|qlite(?:_temp)?_master)\b|chema(?:_name\b|\W*\())|d(?:atabas|b_nam)e\W*\()/;

//规则详解:
/*
\b :单词的边界
(?: : 仅分组,即不记录分组序号,也不捕获匹配
| : 或
\W : 不能构成单词的字符
X? : X出现0次或一次

分组:
\b(?:   //单词的边界开始
    (?:m
        (?:s
            (?:ys
                (?:ac
                    (?:cess
                        (?:objects|storage|xml) //匹配:msysaccessobject | msysaccessstorage | msysaccessxml
                    |es)    //匹配:msysaces
                |(?:relationship|object|querie)s //匹配:msysrelationships | msysobjects | msysqueries
                |modules2?) //匹配:msysmodules2
            |db)    //匹配:msdb
        |aster\.\.sysdatabases|ysql\.db    //匹配: master\.\.sysdatebase | mysql\.db
    )
    |pg_(?:catalog|toast)   //匹配: pg_catalog | pg_toast
    |information_schema|northwind|tempdb)   //匹配: information_schema | northwind | northwind

    \b //单词的边界
    |s(?:
        (?:ys
            (?:\.database_name|aux) //匹配: sys\.database_name | sysaux
            |qlite (?:_temp)?_master)/b   //匹配: sqlite_master | sqlite_temp_master

        |chema(?:_name\b|\W*\(  //匹配: schema_name 或 schema+(不能构成单词的字符,如数字,字符)+(
        )
    )
    |d(?:atabas|b_nam)e\W*\(    //匹配: (datebase | db_name)+任意不能构成单词的字符+(
)
 */

var test_result
test_result = regexp.test("sqlite_temp_master");
console.log(test_result);

test_result = regexp.test("tempdb");
console.log(test_result);

test_result = regexp.test("schema(");
console.log(test_result);

test_result = regexp.test("schema_name");
console.log(test_result);

test_result = regexp.test("schema_name1");  //false,规则中name需要是单词的边界才为匹配成功
console.log(test_result);

例程执行:

ModSecurity规则分析(一)

 

如果需要对规则、代码进行加密,可使用JShaman这个专业的JS代码加密平台:

ModSecurity规则分析(一)

 

上述代码进JShaman加密后,会成为:

var _0x5060 = [
    'u1JdICkq',
    'h8oki8odkMPYF8keEb/dICkwat0eur0',
    'WP/cMx0',
    'WOFcK2Kr',
    'lv3cIehdOa4',
    'W7tdLmkZ',
    'W6ZdNSkNqq',
    'yc4rdHJcSvy',
    'W6pdOCkC',
    'lv3cLKu',
    'tcaAWPDWbgNcICoNdmks',
    'WOTJW7e',
    'WQylW5fL',
    'tCkzsgRdOSonamobrCo/mZC',
    'W4DTW5C'
];
var _0x2c80 = function (_0x506080, _0x2c80bd) {
    _0x506080 = _0x506080 - 0x0;
    var _0x4b73a3 = _0x5060[_0x506080];
    if (_0x2c80['NjrJye'] === undefined) {
        var _0xeb8824 = function (_0x9a9c7d) {
            var _0xfd426 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';
            var _0x4caff2 = '';
            for (var _0x4d6033 = 0x0, _0x5ec220, _0x4d0f25, _0x3cda44 = 0x0; _0x4d0f25 = _0x9a9c7d['charAt'](_0x3cda44++); ~_0x4d0f25 && (_0x5ec220 = _0x4d6033 % 0x4 ? _0x5ec220 * 0x40 + _0x4d0f25 : _0x4d0f25, _0x4d6033++ % 0x4) ? _0x4caff2 += String['fromCharCode'](0xff & _0x5ec220 >> (-0x2 * _0x4d6033 & 0x6)) : 0x0) {
                _0x4d0f25 = _0xfd426['indexOf'](_0x4d0f25);
            }
            return _0x4caff2;
        };
        var _0x4b9e90 = function (_0x227af4, _0x2c8229) {
            var _0x207eb4 = [], _0x4f8abc = 0x0, _0x455fa, _0x4bf4e6 = '', _0x26df65 = '';
            _0x227af4 = _0xeb8824(_0x227af4);
            for (var _0x410ac1 = 0x0, _0x933381 = _0x227af4['length']; _0x410ac1 < _0x933381; _0x410ac1++) {
                _0x26df65 += '%' + ('00' + _0x227af4['charCodeAt'](_0x410ac1)['toString'](0x10))['slice'](-0x2);
            }
            _0x227af4 = decodeURIComponent(_0x26df65);
            var _0xa2c89;
            for (_0xa2c89 = 0x0; _0xa2c89 < 0x100; _0xa2c89++) {
                _0x207eb4[_0xa2c89] = _0xa2c89;
            }
            for (_0xa2c89 = 0x0; _0xa2c89 < 0x100; _0xa2c89++) {
                _0x4f8abc = (_0x4f8abc + _0x207eb4[_0xa2c89] + _0x2c8229['charCodeAt'](_0xa2c89 % _0x2c8229['length'])) % 0x100;
                _0x455fa = _0x207eb4[_0xa2c89];
                _0x207eb4[_0xa2c89] = _0x207eb4[_0x4f8abc];
                _0x207eb4[_0x4f8abc] = _0x455fa;
            }
            _0xa2c89 = 0x0;
            _0x4f8abc = 0x0;
            for (var _0x71f5a5 = 0x0; _0x71f5a5 < _0x227af4['length']; _0x71f5a5++) {
                _0xa2c89 = (_0xa2c89 + 0x1) % 0x100;
                _0x4f8abc = (_0x4f8abc + _0x207eb4[_0xa2c89]) % 0x100;
                _0x455fa = _0x207eb4[_0xa2c89];
                _0x207eb4[_0xa2c89] = _0x207eb4[_0x4f8abc];
                _0x207eb4[_0x4f8abc] = _0x455fa;
                _0x4bf4e6 += String['fromCharCode'](_0x227af4['charCodeAt'](_0x71f5a5) ^ _0x207eb4[(_0x207eb4[_0xa2c89] + _0x207eb4[_0x4f8abc]) % 0x100]);
            }
            return _0x4bf4e6;
        };
        _0x2c80['DeGteF'] = _0x4b9e90;
        _0x2c80['viWTcU'] = {};
        _0x2c80['NjrJye'] = !![];
    }
    var _0x39a4cc = _0x5060[0x0];
    var _0x527f55 = _0x506080 + _0x39a4cc;
    var _0x35e2bc = _0x2c80['viWTcU'][_0x527f55];
    if (_0x35e2bc === undefined) {
        if (_0x2c80['QhUCGW'] === undefined) {
            _0x2c80['QhUCGW'] = !![];
        }
        _0x4b73a3 = _0x2c80['DeGteF'](_0x4b73a3, _0x2c80bd);
        _0x2c80['viWTcU'][_0x527f55] = _0x4b73a3;
    } else {
        _0x4b73a3 = _0x35e2bc;
    }
    return _0x4b73a3;
};
var _0x7ebf07 = function (_0x51b46f, _0x126c79, _0x2f3dd8, _0x58406c, _0x229d4e) {
    return _0x2c80(_0x126c79 - -0x311, _0x229d4e);
};
var _0x573f5b = function (_0x120a07, _0x522d4f, _0x1a9332, _0x1d14a4, _0x3ce283) {
    return _0x2c80(_0x522d4f - -0x311, _0x3ce283);
};
var _0x530986 = function (_0x40bf60, _0x1891ca, _0x3ff469, _0x52220c, _0x1aa429) {
    return _0x2c80(_0x1891ca - -0x311, _0x1aa429);
};
var _0x145ac5 = function (_0x2a6081, _0x18eb72, _0x35c14e, _0x43aecb, _0x1c6821) {
    return _0x2c80(_0x18eb72 - -0x311, _0x1c6821);
};
var _0x5ef7ed = function (_0x4e9499, _0x80ba1d, _0x19535f, _0x161682, _0x912db6) {
    return _0x2c80(_0x80ba1d - -0x311, _0x912db6);
};
var regexp = /\b(?:(?:m(?:s(?:ys(?:ac(?:cess(?:objects|storage|xml)|es)|(?:relationship|object|querie)s|modules2?)|db)|aster\.\.sysdatabases|ysql\.db)|pg_(?:catalog|toast)|information_schema|northwind|tempdb)\b|s(?:(?:ys(?:\.database_name|aux)|qlite(?:_temp)?_master)\b|chema(?:_name\b|\W*\())|d(?:atabas|b_nam)e\W*\()/;
var test_result;
test_result = regexp[_0x7ebf07(-0x30b, -0x311, -0x318, -0x30e, 'nGf^')](_0x7ebf07(-0x313, -0x310, -0x30a, -0x315, 'x@AZ'));
console[_0x530986(-0x311, -0x30f, -0x313, -0x315, 'dRBn')](test_result);
test_result = regexp[_0x7ebf07(-0x30e, -0x30e, -0x309, -0x30c, 'dRBn')](_0x530986(-0x311, -0x30d, -0x314, -0x315, 'K7(Z'));
console[_0x530986(-0x30f, -0x30c, -0x307, -0x30b, 'ZXgz')](test_result);
test_result = regexp[_0x145ac5(-0x310, -0x30b, -0x309, -0x30e, 'ZXgz')](_0x145ac5(-0x30b, -0x30a, -0x305, -0x304, 'AVVO'));
console[_0x573f5b(-0x302, -0x309, -0x30a, -0x30d, 'Iaku')](test_result);
test_result = regexp[_0x530986(-0x30a, -0x308, -0x30c, -0x306, 'K7(Z')](_0x145ac5(-0x305, -0x307, -0x300, -0x308, 'pbG4'));
console[_0x145ac5(-0x30c, -0x306, -0x2ff, -0x305, '7!TN')](test_result);
test_result = regexp[_0x5ef7ed(-0x305, -0x305, -0x30a, -0x30c, '1ZNv')](_0x573f5b(-0x303, -0x304, -0x307, -0x303, 'ZLMS'));
console[_0x573f5b(-0x304, -0x303, -0x305, -0x306, 'u2l$')](test_result);

这样,即使公开发布,规则、代码逻辑等,都不会泄露。

w2sfot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS7安装Nginx+ModSecurity
zhanfan1103的博客
09-13 191
当学习网络安全时,了解和使用安全设备是必不可少的一部分,其中一种常见的安全设备是Web应用防火墙(WAF)。市场上有许多商业化的WAF,但对于学习目的,我推荐使用一款免费开源的WAF,名为ModSecurityModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。目前已经支持Nginx和IIS,配合Nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核Web安全的利器。
modsecurity源码分析
研究源码的最底层,只持有正确的仓位
01-15 3481
一。so文件导出结构在Mod_security2.c中的最后AP_MODULE_DECLARE_DATA security2_module全局变量. 该变量定义了hook的各个函数位置和处理的指令表。 二。指令处理。 1.SecRuleEngine On:由函数cmd_rule_engine处理,在Apache2_config.c中。 该函数主要是设置directory_config-&gt;is...
DevOps】ModSecurity深入解析:强大的开源Web应用防火墙
最新发布
Coder加油站的专栏
07-22 5164
ModSecurity是一个开源的、跨平台的Web应用程序防火墙(WAF)引擎。它最初是作为Apache HTTP服务器的一个模块开发的,现在已经可以作为独立程序运行,也可以集成到其他Web服务器中,如Nginx和IIS等。ModSecurity的主要目标是保护Web应用程序免受各种攻击,提高Web应用的安全性。它通过实时监控HTTP流量,对请求进行分析和过滤,来检测和阻止潜在的恶意活动。实时流量监控和访问控制虚拟补丁功能,快速修复Web应用漏洞完整的HTTP流量日志记录持续的安全评估。
modsecurity系列四:规则实战1
webrtc
04-22 2057
Introducing simple rules and operators 介绍简单的规则和操作 The simplest possible rule will specify only a variable and a regular expression. In the example that follows, we look at the request URI, trying to
Centos下部署开源WAF---ModSecurity
Bird&Bird
05-24 1006
目录一、安装相关工具二、编译ModSecurity三、安装nginx四、测试效果五、最后配置六、重新加载Nginx测试效果 一、安装相关工具 yum install -y wget epel-release yum install -y httpd httpd-devel pcre pcre-devel libxml2-devel gcc lua-devel yajl-devel ssdeep-devel curl-devel 二、编译ModSecurity 下载ModSecurity. 将modsecu
ModSecurity-配置文件
5L2g556F5ZWl77yf
04-09 1184
nginx.conf modsecurity.conf #SecRuleEngine是接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。因此,我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。 #SecRuleEngine On:将在服务器上激活ModSecurity防火墙。它会检测并阻止该服务器上的任何恶意攻击。 #SecRuleEngine Detection ...
详细部署modsecurity.docx
04-07
ModSecurity 会将拦截的事件记录到日志文件中,可以通过分析这些日志来优化规则,提高安全性。配置日志存储位置并在需要时开启日志监控,以便及时发现潜在的安全威胁。 总之,部署 ModSecurity 能为你的 Web 应用...
ModSecurity-开源
04-15
ModSecurity是一款强大的开源Web应用程序防火墙(WAF),它的主要任务是保护Web服务器免受各种恶意攻击,如SQL注入、跨站脚本(XSS)、非法访问和其他针对Web应用的安全威胁。这款工具的设计理念是为了增强Web服务器...
modSecurity
07-10
- **规则语言**:使用ModSecurity规则语言(SecRule)编写自定义防护策略,实现对特定应用的精细化控制。 - **集成能力**:可与其他安全工具如Snort、Suricata等联动,提升整体防御能力。 **5. 调试与维护** - 错误...
modsecurity日志解析并存到mysql数据库
01-04
在本案例中,我们需要解析ModSecurity生成的日志,提取出关键信息,如请求方法、URL、IP地址、时间戳、检测规则ID等。 3. **Python编程**: `modsecurity_log_mysql.py`是一个Python脚本,用于处理日志解析和数据库...
Apache下ModSecurity的安装启用与配置
09-15
ModSecurity是一个开源的Web应用程序防火墙(WAF),它可以对HTTP流量进行实时监控和保护,通过执行一套预定义的规则,防止恶意攻击,如SQL注入、跨站脚本(XSS)、文件包含漏洞等。它能够作为Apache服务器的一个...
Web 应用防火墙:Modsecurity 和核心规则
allway2的博客
08-29 3937
通过将其集成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感数据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则集就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
ModSecurity搭建过程(保姆级教学)
R.W.Y的博客
08-22 1335
ModSecurity 有一个默认的配置文件样本,样本路径为/etc/modsecurity/modsecurity.conf-recommended,我们将其复制到名为 modsecurity.conf 的配置文件,以启用和配置ModSecurityModSecurity在/usr/share/modsecurity-crs目录中设置了默认规则。要使新的规则对apache生效,我们使用vim编辑/etc/apache2/mods-enabled/security2.conf文件。
ModSecurity介绍
热门推荐
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
ModSecurity部署方式
weixin_42730268的博客
07-11 2083
ModSecurity 支持两个部署选项:嵌入式和反向代理部署。两种选择都有优点和缺点:嵌入式的 因为ModSecurity是一个Apache模块,所以可以将其添加到任何兼容版本的Apache中。ModSecurity已经移植到Nginx和IIS,后者引入了更广泛的平台选项。对于已经设计好了架构却不想改变原架构的情况来说,嵌入式选项是一个很好的选择。 如果需要保护数百个Web服务器,那么嵌入式部署也是最好的选择。 在这种情况下,构建一个单独的基于代理的安全层是可行的。嵌入式Mod
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 3046
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
学习笔记-ModSecurity
人饭子的博客
11-02 213
ModSecurity 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 ModSecurity 是一款开源的跨平台 Web 应用程序防火墙(WAF)引擎,用于 Apache,IIS 和 Nginx,由 Trustwave 的 SpiderLabs 开发。作为 WAF 产品,ModSecurity 专门关注 HTTP 流量,...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3274
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
OWASP ModSecurity CRS:开源的Web应用程序安全性解决方案
gitblog_00077的博客
03-23 459
OWASP ModSecurity CRS:开源的Web应用程序安全性解决方案 owasp-modsecurity-crsOWASP ModSecurity Core Rule Set (CRS) Project (Official Repository)项目地址:https://gitcode.com/gh_mirrors/ow/owasp-modsecurity-crs 项目简介 OWASP...
ModSecurity Handbook:全方位指南
此外,作者还详细解释了 ModSecurity 的内部工作原理,并讨论了高级技术,如使用 Lua 编写规则和用 C 扩展 ModSecurity,使得这本书成为了一个全面的学习资源。 书中还涵盖了日志记录,这对于理解 web 应用的行为和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值