php secmod,modsecurity从零开始

最新推荐文章于 2023-03-15 22:00:00 发布
最新推荐文章于 2023-03-15 22:00:00 发布
阅读量284 收藏
点赞数
文章标签: php secmod

3、关于规则的问题记录:

(1)分为5个阶段:

Request Header(phase:1):处理 requesst line 和 request headers

Request Body(phase:2):处理 request body

Response Header(phase:3):处理 response headers

Response Body(phase:4):处理 response body

Logging(phase:5):日志记录,添加header

(2)添加例外:修改modsecurity.conf配置

a、通过规则id: 添加SecRuleRemoveById  id

b、SecRuleRemoveByMsg指令:通过Rule Msg禁用指定规则

c、url加白 :对指定路径关闭WAF检测/或只记录不拦截

SecRuleEngine DetectionOnly

(3)规则新规则:

黑名单

#SecRule REMOTE_ADDR "@pmFromFile host.deny.data" "id:10087,phase:1,log,auditlog,deny,status:403,msg:'jinzhifangwen'"

#SecRule REMOTE_ADDR "@pmFromFile host.deny.data" "id:10088,phase:2,log,auditlog,deny,status:403,msg:'jinzhifangwen'"

白名单:SecRule REMOTE_ADDR "@pmFromFile host.allow.data" "id:10085,phase:1,nolog,pass,ctl:ruleEngine=off"

SecRule REMOTE_ADDR "@pmFromFile host.allow.data" "id:10086,phase:2,nolog,pass,ctl:ruleEngine=off"

(2)SecAuditLogParts

A:审计日志头(必须配置)

B:请求头

C:请求体(仅在请求体存在并且ModSecurity配置为拦截它时才存在。 这需要将SecRequestBodyAccess设置为On)

D:该值是为中间响应头保留,尚未有任何实际作用

E:中间响应体(仅当ModSecurity配置为拦截响应体并且审计日志引擎配置为记录时才存在。 拦截响应体需要将SecResponseBodyAccess设置为On)。 除非ModSecurity拦截中间响应体,否则中间响应体与实际响应体相同,在这种情况下,实际响应体将包含错误消息(Apache默认错误消息或ErrorDocument页面))

F:最终响应头(不包括日期和服务器标题,Apache始终在内容交付的后期阶段添加)

G:该值是为实际响应体保留,尚未有任何实际作用

H:审计日志追踪内容;

I:该部分是C的替代品。除了使用multipart/form-data编码,否则它在所有情况下记录的数据与C相同。 在这种情况下,它将记录一个假应用程序/ x-www-form-urlencoded正文,其中包含有关参数的信息,但不包含有关文件的信息。 如果您不想在审核日志中存储(通常很大)的文件,使用I比使用C更方便。

J:该部分包含有关使用multipart/form-data编码上传的文件的信息。

K:该部分包含了本次访问中所匹配到的所有规则(按每行一个进行记录)。规则是完全合格的,因此将显示继承的操作和默认操作符。V2.5.0以上支持。

Z:结尾分界线,表示本次日志记录完毕(必须配置)

(2)

REQUEST-910-IP-REPUTATION.conf(可疑IP匹配)

REQUEST-912-DOS-PROTECTION.conf(DDOS攻击)

REQUEST-913-SCANNER-DETECTION.conf(扫描器检测)

REQUEST-920-PROTOCOL-ENFORCEMENT.conf(HTTP协议规范相关规则)

REQUEST-921-PROTOCOL-ATTACK.conf(协议攻击)

举例:HTTP Header Injection Attack、HTTP参数污染

REQUEST-930-APPLICATION-ATTACK-LFI.conf(应用攻击-路径遍历)

REQUEST-931-APPLICATION-ATTACK-RFI.conf(远程文件包含)

REQUEST-932-APPLICATION-ATTACK-RCE.conf(远程命令执行)

REQUEST-933-APPLICATION-ATTACK-PHP.conf(PHP注入攻击)

REQUEST-941-APPLICATION-ATTACK-XSS.conf(XSS)

REQUEST-942-APPLICATION-ATTACK-SQLI.conf(SQL注入)

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf(会话固定)

REQUEST-949-BLOCKING-EVALUATION.conf()

RESPONSE-950-DATA-LEAKAGES.conf(信息泄露)

RESPONSE-951-DATA-LEAKAGES-SQL.conf(SQL信息泄露)

RESPONSE-952-DATA-LEAKAGES-JAVA.conf(JAVA源代码泄露)

RESPONSE-953-DATA-LEAKAGES-PHP.conf(PHP信息泄露)

RESPONSE-954-DATA-LEAKAGES-IIS.conf(IIS信息泄露)

段云琦
关注
php secmod,ModSecurity
weixin_39599454的博客
03-28 166
Libmodsecurity is one component of the ModSecurity v3 project. The librarycodebase serves as an interface to ModSecurity Connectors taking in web trafficand applying traditional ModSecurity processing...
modsecurity php,nginx + modsecurity实现WAF功能
weixin_42402188的博客
03-21 434
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。一.准备工作系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0依赖关系:tengine(nginx)依赖: pcre 、zlib、 openss...
php secmod,Apache Module mod_ssl
weixin_39800331的博客
03-28 86
说明Allow access only when an arbitrarily complexboolean expression is true语法SSLRequire expression作用域directory, .htaccess覆盖项AuthConfig状态扩展(E)模块mod_sslThis directive specifies a general access requiremen...
php 最大限制,phpModSecurity最大发布限制(PCRE限制错误)
weixin_39778400的博客
03-13 267
我一直有很多与Mod Security有关的问题.我正忙于为工作中的项目编写CMS,在开发编辑某个数据库记录的页面时,我一直收到403错误.经过几个小时的敲击我的桌子后,我调整了一些代码,最后我改变了我的表格被发布的脚本,以包含一个简单的回声“测试”;即使提交到这个简单的页面也会引发403错误.我搞砸了我的表格,我最终发现,如果我减少了数据量,我发布的表单提交得很好(特别是我减少了textarea...
php secmod,把Apache ModSecurity的攻击日志存储到MySQL
weixin_39779530的博客
03-28 225
把Apache ModSecurity的攻击日志存储到MySQL。 查看mod_security文件类型的日志,确实太麻烦了。国内资料居然没有百度到,找到了一篇英文文章,并且php都是写好的。httpd.confInclude conf/modsecurity-crs/crs-setup.confInclude conf/modsecurity-crs/rules/*.conf# mlogc.ex...
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule Set(CRS)映像
05-19
ModSecurity核心规则集Docker映像 什么是核心规则集 核心规则集(CRS)是一组与ModSecurity或兼容的Web应用程序防火墙一起使用的通用攻击检测规则。 ModSecurity是适用于Apache,IIS和Nginx的开源,跨平台Web应用...
modsecurity handbook
11-11
ModSecurity Handbook is the definitive guide to ModSecurity, a popular open source web application firewall. Written by Ivan Ristic, who designed and wrote much of ModSecurity, this book will teach ...
小白如何部署modsecurity.doc
最新发布
04-23
**ModSecurity 概述** ModSecurity 是一个强大的Web应用程序防火墙(WAF),它作为一道安全屏障,位于Web服务器和应用程序之间,旨在检测并防御针对Web应用的各种恶意攻击。这款工具能够识别并防止诸如SQL注入、跨...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
4. **编译与安装**:详细步骤指导如何从源代码编译和安装Nginx和ModSecurity,以及如何配置UbuntuMakefile进行构建。 5. **安全策略配置**:探讨不同级别的安全策略,如预防、检测和审计模式,以及如何在Nginx的配置...
Apache下ModSecurity的安装启用与配置
01-20
ModSecurity 是一个强大的包过滤工具,将检查每一个进入web服务器的包。它将根据内部规则,比较每一个包,并且确定是否需要禁止这个包或继续发送给web服务器。 1、下载 modsecurity-apache: ...
SNMP学习之结构体snmp_secmod_def
weixin_33842304的博客
08-26 89
此结构体中定义了各个回调函数,在函数init_ksm(E:\code\net-snmp-5.4.2.1\snmplib)中进行了初始化。 void init_ksm(void) { struct snmp_secmod_def *def; //申请内存 def = SNMP_MALLOC_STRUCT(snmp_secmod_def...
ModSecurity规则库学习
慢慢来的博客
08-16 6385
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分析文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
modsecuity禁用指定规则解除403返回
zhanggd57的博客
07-04 2194
modsecuity禁用指定id规则
modSecurity规则学习(六)——检测模式
weixin_30378311的博客
04-18 2477
传统检测模式-自主规则 传统检测模式所有规则都是“闭环”的模式。就像HTTP本身一样,单独的规则是无状态的。这意味着规则之间不共享信息,每个规则都没有关于任何先前规则匹配的信息。它仅使用其当前的单个规则逻辑进行检测。在此模式下,如果规则触发,它将执行当前规则中指定的任 何中断/记录日志操作。设置方法:修改Crs-setup.conf # Example: Self-contained mo...
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 3131
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
读“ModSecurity配置关键字说明”之摘抄
zhangge3663的博客
03-26 855
通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]阶段phase  (1) request headers  (2) request body  (3) response headers  (4) response body  (5) logging  一、变量variable  绿色:请求变量  蓝色:serve...
ModSecurity介绍
热门推荐
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
ModSecurity配置关键字说明
Zhao_S的专栏
06-23 8953
通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS] 阶段phase (1)request headers (2)request body (3)response headers (4)response body (5) logging 一、变量va
modsecurity设置规则防止SQL注入
技术转管理历程
03-16 5114
防止SQL注入 1)cd /etc/httpd/modsecurity-crs/rules 2)vi REQUEST-SELF-101-HASH.conf 写入 # # -=[ SQL Injection Character Anomaly Usage ]=- # # This is a paranoid sibling to 2.2.x Rule 981173. # The re
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值