modsecurity java_OWASP ModSecurity Core Rule Set (CRS)的基本使用

最新推荐文章于 2024-03-23 09:44:02 发布
最新推荐文章于 2024-03-23 09:44:02 发布
阅读量500 收藏
点赞数
文章标签: modsecurity java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33205791/article/details/114392235
版权

Preface

前述文章开源WAF工具ModSecurity,介绍了ModSecurity作为Nginx的动态加载模块的基本安装和使用。

本篇简单介绍ModSecurity CRS规则集的使用。

# nginx -v                # nginx版本

nginx version: nginx/1.17.6# which nginx              # nginx可执行文件路径/usr/sbin/nginx

# find/ -name nginx.conf       # nginx配置文件路径/etc/nginx/nginx.conf

# ls /etc/nginx/modules/    # modsecurity模块位置

ngx_http_modsecurity_module.so

# ls /etc/nginx/modsec/*.conf     # modsecurity配置文件路径

/etc/nginx/modsec/main.conf /etc/nginx/modsec/modsecurity.conf

如果参照前面给出的链接,除了版本上可能会有差异外(由于更新),其它的是一样的。

OWASP CRS

下载OWASP规则并生成配置文件

# cd /etc/nginx/modsec/     # 切换到我们设置的modsecurity配置文件路径# git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git    # 下载CRS规则文件

# cd owasp-modsecurity-crs

# cp crs-setup.conf.example crs-setup.conf   # 使用默认配置

# git branch

* v3.3/dev            # 目前在最新的3.3分支

配置OWASP规则

编辑crs-setup.conf文件(使用命令)。

# sed -ie 's/SecDefaultAction "phase:1,log,auditlog,pass"/#SecDefaultAction "phase:1,log,auditlog,pass"/g' crs-setup.conf

# sed-ie 's/SecDefaultAction "phase:2,log,auditlog,pass"/#SecDefaultAction "phase:2,log,auditlog,pass"/g' crs-setup.conf

# sed-ie 's/#.*SecDefaultAction "phase:1,log,auditlog,deny,status:403"/SecDefaultAction "phase:1,log,auditlog,deny,status:403"/g' crs-setup.conf

# sed-ie 's/# SecDefaultAction "phase:2,log,auditlog,deny,status:403"/SecDefaultAction "phase:2,log,auditlog,deny,status:403"/g' crs-setup.conf

生成例外排除请求的配置文件

# pwd               # 当前已在这个路径/etc/nginx/modsec/owasp-modsecurity-crs

#cp rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf   # 例外排除请求

# cp rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf  # 例外排除请求

$ cp rules/*.data ..    # data文件拷贝至modsecurity配置文件路径,即/etc/nginx/modsec

# cd /etc/nginx/modsec/# ls   # /etc/nginx/modsec路径下的内容是这样

crawlers-user-agents.data java-errors.data owasp-modsecurity-crs php-function-names-933151.data scanners-headers.data sql-errors.data

iis-errors.data lfi-os-files.data php-config-directives.data php-variables.data scanners-urls.data unicode.mapping

java-classes.data main.conf php-errors.data restricted-files.data scanners-user-agents.data unix-shell.data

java-code-leakages.data modsecurity.conf php-function-names-933150.data restricted-upload.data scripting-user-agents.data windows-powershell-commands.data

其中:

modsecurity.conf为modsecurity的配置文件;

main.conf为我们自己添加的主配置文件,规则都可添加到这里,方便进行管理;

添加规则

在main.conf配置文件中添加我们想要的规则:

# vim main.conf # 以下是main.conf中的内容

# Include the recommended configuration

include modsecurity.conf

include owasp-modsecurity-crs/crs-setup.conf

include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

include owasp-modsecurity-crs/rules/REQUEST-901-INITIALIZATION.conf

Include owasp-modsecurity-crs/rules/REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf

include owasp-modsecurity-crs/rules/REQUEST-905-COMMON-EXCEPTIONS.conf

include owasp-modsecurity-crs/rules/REQUEST-910-IP-REPUTATION.conf

include owasp-modsecurity-crs/rules/REQUEST-911-METHOD-ENFORCEMENT.conf

include owasp-modsecurity-crs/rules/REQUEST-912-DOS-PROTECTION.conf

include owasp-modsecurity-crs/rules/REQUEST-913-SCANNER-DETECTION.conf

include owasp-modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf

include owasp-modsecurity-crs/rules/REQUEST-921-PROTOCOL-ATTACK.conf

include owasp-modsecurity-crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf

include owasp-modsecurity-crs/rules/REQUEST-931-APPLICATION-ATTACK-RFI.conf

include owasp-modsecurity-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf

include owasp-modsecurity-crs/rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf

include owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf

include owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf

include owasp-modsecurity-crs/rules/REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf

include owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf

include owasp-modsecurity-crs/rules/RESPONSE-950-DATA-LEAKAGES.conf

include owasp-modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf

include owasp-modsecurity-crs/rules/RESPONSE-952-DATA-LEAKAGES-JAVA.conf

include owasp-modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf

include owasp-modsecurity-crs/rules/RESPONSE-954-DATA-LEAKAGES-IIS.conf

include owasp-modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf

include owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf

include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

# A test rule

SecRule ARGS:testparam"@contains test" "id:1234,deny,log,status:403"

【注】考虑到可能对主机性能上的损耗,可以根据实际需求加入对应的漏洞的防护规则即可。

测试

# nginx -s reload      # 重载配置

# nginx-t# 测试

nginx: the configuration file/etc/nginx/nginx.conf syntax isok

nginx: configuration file/etc/nginx/nginx.conf test issuccessful

# curl-D - http://localhost/?id=1      # 正常访问

HTTP/1.1 200OK

Server: nginx/1.17.6Date: Tue,26 Nov 2019 08:09:01GMT

Content-Type: text/plain

Content-Length: 32Connection: keep-alive

Thank youfor requesting /?id=1# curl-D - http://localhost/?id='1 and 1=1'  # 测试是否存在SQL注入

HTTP/1.1 403Forbidden               <<== 会被拦截

Server: nginx/1.17.6Date: Tue,26 Nov 2019 08:09:02GMT

Content-Type: text/html

Content-Length: 153Connection: keep-alive

403 Forbidden

403 Forbidden

nginx/1.17.6

# curl-D - http://localhost/?input=''    # 测试XSS

HTTP/1.1 403Forbidden              <<== 同样会被拦截

Server: nginx/1.17.6Date: Tue,26 Nov 2019 08:09:40GMT

Content-Type: text/html

Content-Length: 153Connection: keep-alive

403 Forbidden

403 Forbidden

nginx/1.17.6

查看日志文件

modsecurity日志文件:/var/log/modsec_audit.log

191484aa7417fc887bd0bac6ae28088e.png

可以清楚的看到日志中记录了XSS的攻击记录。

ModSecurity CRS规则集的基本使用就是这样,最主要的是要知道CRS规则集中的内容,规则的编写,才能编写出符合自己要求的规则。

参考

梦酱酱酱酱肉大包子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule
ModSecurity规则库学习
慢慢来的博客
08-16 6319
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分析文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
waf之ModSecurity
第九系艾文
08-21 954
waf之ModSecurity
走进科学 WAF(Web Appllication Firewall)
weixin_34415923的博客
11-21 147
1. 前言当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,例如传统的防火墙体系无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的...
ModSecurity网站防火墙安装教程加WEB防御规则设置
云博客_资源宝分享
02-12 2001
ModSecurity网站防火墙安装教程加WEB防御规则设置
owasp core rules sets规则集深度分析与测试
focus on security
01-06 2810
使用者而言,考察一款WAF的有效性,最关键的一点就是攻击的防御情况,我们看看ModSecurity对漏洞防御的checklist 扫描器scanner 恶意爬虫crawler webshell(Trojans) shell上传:见文件上传 shell连接:get/post/cookie SQLi/BlindSQLI(ReflectedSQLi,StoredSQLi) GET POST Refer...
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule SetCRS)映像
05-19
ModSecurity核心规则集Docker映像...$ docker build --tag owasp/modsecurity-crs:v3.3.0-apache -f v3.3.0-apache/Dockerfile . 如果调用不带参数的make ,将构建所有发行版和Web服务器组合。 或者使用make VERSIONS
OWASP ModSecurity Core Rule Set 讲解PPT 英文版
03-01
该PPT是英文讲解PPT,较为系统的介绍了ModSecurity 和CSR语法规则等。
auto-decoding-plugin:以OWASP ModSecurity Core Rule Set插件的形式自动解码有效载荷参数
04-23
OWASP ModSecurity核心规则集-自动解码插件 描述 这是一个插件,可借助诸如base64DecodeExt之类的ModSec转换将参数的自动和通用转换/解码转换为CRS。 自动解码是一种捕获恶意负载的方法,这些负载已经被编码为绕过...
secrules-parser:ModSecurity CRS规则解析器(项目已移至CRS-support:请参阅https:github.comCRS-supportsecrules_parsing)
02-04
cd owasp-modsecurity-crs; git checkout v3.1/dev; cd .. 安装依赖项依赖项可以在系统范围内安装,也可以只为您的用户安装(使用--user )。 系统范围: sudo pip install -r requirements.txt 用户: pip install ...
docker-nginx-waf:Nginx反向代理与ModSecurity Web应用程序防火墙,SSL终止(certbot)和brotli压缩
04-12
Mozilla建议几乎所有系统使用具有各种客户端的通用服务器。 证书来自certbot生成的Lets加密,由单独的容器自动续订,挂钩已预先配置为重新加载nginx-waf容器 Brotli的默认预配置选项为:动态压缩,级别6 标头包括...
Apache ModSecurity 基础介绍
ppaudio的专栏
04-27 1321
转自:https://javascript.net.cn/article?id=449 一,主要功能: SQL Injection (SQLi):阻止SQL注入 Cross Site Scripting (XSS):阻止跨站脚本攻击 Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击 Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击 Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击 PHP C
Linux:nginx安装及负载均衡配置
test1280
11-02 589
Linux:nginx安装及负载均衡配置 主机环境信息 [root@test1280 ~]# cat /etc/redhat-release CentOS release 6.8 (Final) [root@test1280 ~]# uname -a Linux test1280 2.6.32-642.el6.x86_64 #1 SMP Tue May 10 17:27:01 UTC 2016 ...
OWASP ModSecurity CRS:开源的Web应用程序安全性解决方案
最新发布
gitblog_00077的博客
03-23 422
OWASP ModSecurity CRS:开源的Web应用程序安全性解决方案 项目地址:https://gitcode.com/SpiderLabs/owasp-modsecurity-crs 项目简介 OWASP ModSecurity CRS是一个开源的Web应用程序安全性解决方案,它基于ModSecurity和Coraza Web应用程序防火墙。该项目的目标是通过提供一组规则来保护Web应...
ModSecurity for Java - BETA Testers Needed
cnbird's blog
10-08 2175
Over the course of the summer of 2013, the ModSecurity team participated in Google's Summer of Code (GSoC) program through OWASP.  We helped by mentoring Mihai Pitu who developed a port of ModSe
modsecurity java,mod_security 模块配置
weixin_36221525的博客
03-16 209
1.编辑你的apache配置文件(httpd.conf),找到下面两行#vi /www/conf/httpd.conf注: 到此为止, httpd.conf文件已包含下面三行代码(1,2条为自动, 3条手动添加)LoadModule security_module libexec/mod_security.soAddModule mod_security.cInclude conf/mod_sec...
WAF_owasp-modsecurity-crs(Web Application Firewall应用防火墙)修改规则
洋子的博客
02-27 1230
WAF_owasp-modsecurity-crs(Web Application Firewall应用防火墙)!!!! 当然针对于安全的角度我们设置防火墙,但是既然是防火墙就避免不了误删,但是防火墙又不能直接关闭或者强行修改规则,那么我们就按照防火墙的规则增加白名单就好了。 在开发一个功能时发现第三方的POST请求全都被Nginx403拒绝了,原因是因为回调的内容有大量的HTML内容误被认为是X...
modsecurity java,.htaccess和Apache ModSecurity
weixin_33805938的博客
03-16 68
我有这个.htaccessOptions -IndexesRewriteEngine OnRewriteBase /# Force to exclude the trailing slashRewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_URI} (.*)/$RewriteRule ^(.+)/$ $1 [R=307,L]# Res...
ModSecurity-master 与java如何整合
iteye_14017的博客
01-22 324
ModSecurity-master 与java如何整合,用的是struts2 ,spring3
如何触发modsecurity_crs_41_xss_attacks.conf
05-22
ModSecurity CRSCore Rule Set)是一组规则,用于保护Web应用程序免受常见攻击,如跨站点脚本(XSS),SQL注入和文件包含攻击等。 modsecurity_crs_41_xss_attacks.conf是其中一个规则文件,专门用于检测和预防XSS攻击。 要触发这个规则文件,可以使用以下方法: 1. 在Web应用程序中输入恶意的XSS负载,并发送请求。例如,在输入框中输入一个包含<script>标记的脚本,并提交表单或发送请求。如果ModSecurity CRS已经启用并配置为使用modsecurity_crs_41_xss_attacks.conf规则文件,则它将拦截并阻止请求。 2. 使用专门设计用于测试Web应用程序安全性的工具,例如OWASP ZAP或Burp Suite。这些工具具有内置的攻击模块,可用于检测和利用Web应用程序中的漏洞。您可以使用这些工具来模拟XSS攻击,并查看ModSecurity CRS是否拦截了这些攻击。 请注意,在生产环境中,应谨慎使用ModSecurity CRS和其他安全规则,以确保不会误报或拦截合法的请求。最好在测试环境中进行测试和调试,以确保规则的正确性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值