script window判断f5_F5社区好文推荐:内生安全-NGINX WAF(modsecurity)测试

最新推荐文章于 2022-11-04 22:49:17 发布
最新推荐文章于 2022-11-04 22:49:17 发布
阅读量128 收藏
点赞数
文章标签: script window判断f5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39653622/article/details/111607359
版权

004ed2136e06e17fc75524c66404ef64.gif

d724d3fcb05359d59e45ca58b4010b92.png

闫海波

F5安全事业部首席安全顾问

参考:

1.UDF实验环境

2.https://www.freebuf.com/sectool/211354.html

ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录。

优势:

  • 完美兼容nginx,是nginx官方推荐的WAF
  • 支持OWASP规则
  • 3.0版本比老版本更新更快,更加稳定,并且得到了nginx、Inc和Trustwave等团队的积极支持
  • 免费

ModSecurity的功能:

SQL Injection (SQLi):阻止SQL注入

Cross Site Scripting (XSS):阻止跨站脚本攻击

Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击

Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击

Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击

PHP Code Injectiod:阻止PHP代码注入

HTTP Protocol Violations:阻止违反HTTP协议的恶意访问

HTTPoxy:阻止利用远程代理感染漏洞进行攻击

Shellshock:阻止利用Shellshock漏洞进行攻击

Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击

Scanner Detection:阻止黑客扫描网站

Metadata/Error Leakages:阻止源代码/错误信息泄露

Project Honey Pot Blacklist:蜜罐项目黑名单

GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

劣势:

  1. 不支持检查响应体的规则,如果配置中包含这些规则,则会被忽略,nginx的的sub_filter指令可以用来检查状语从句:重写响应数据,OWASP中相关规则是95X。
  2. 不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制
  3. 不支持在审计日志中包含请求和响应主体

基础环境:

ModSecurity 3.1

DVWA

DVWA漏洞测试

1、Command Injection

输入:www.google.com; cat /etc/passwd

6be124aae144c00a711550707225b7a4.png

成功执行

1f66b08d50378b2636f6358426139853.png

2、SQL Injection

输入:%' or 1='1

c1b87f42732d05133b737643126afe59.png

成功执行

f7b4993d4e9c871991a85df6911e43a8.png

3、XSS Injection

输入:<script>alert(“test”)</script>

13073362c5506ea53a331d3a6cad497b.png

成功执行

44da8db19e6fdbd8f83f13090722f05c.png

下载并启用modsecurity

下载解压core ruleset:

cd /etc/nginx/modsec/
sudo wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.1.0.tar.gz
sudo tar zxvf v3.1.0.tar.gz

启用modsecurity

sudo vi /etc/nginx/modsec/modsecurity.conf

将“off”改为“on”

b185a02823e91e7a49249135ad7db31e.png

sudo vim /etc/nginx/conf.d/default.conf

35fe5064c5aced2c932ed95923cc85ae.png

设置modsecurity使用OWASP CRS

cd /etc/nginx/modsec/owasp-modsecurity-crs-3.1.0
sudo cp crs-setup.conf.example crs-setup.conf
sudo vim /etc/nginx/modsec/main.conf

f7314e2429fb8038b903357a710863a0.png

一定要重新加载nginx:

sudo nginx -s reload

验证防护效果

61f0c8047c0531fc0fe5f8066403ab19.png

31825513f73b04f751f84f7c8445cea3.png

0a7a7e701e5b87c5671e32fbb379a7ce.png

查看防护日志

tail -1 /var/log/nginx/error.log

22eb675c2ee3626655fd948993245810.png

cat /var/log/modsec_audit.log

7fc1f63530745cdfaf6372dbd2e177b8.png

1bd634e3bac72dd5fad6e5c96a4e1304.png

The audit log stepsthrough each phase of modsecurity’s evaluation

  • A Audit log header (mandatory)
  • B Request headers
  • C Request body
  • D Reserved
  • E Response body
  • F Response headers
  • G Reserved
  • H Audit log trailer, which contains additional data
  • I Compact request body alternative (to part C), which excludes files
  • J Information on uploaded files
  • K Contains a list of all rules that matched for the transaction
  • Z Final boundary (mandatory)
weixin_39653622
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
nginx增加modsecurity模块
weixin_34335458的博客
04-08 254
  modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成产级的WAF,是保护和审核web安全的利器。git clone https://github.com/SpiderLabs/ModSecurity.git cd ModSecurity/ ./autogen.sh ./configure...
nginx 第三方模块 modsecurity安装使用
weixin_33856370的博客
02-24 557
2019独角兽企业重金招聘Python工程师标准>>> ...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3208
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
nginx在动态modsecurity模块下的waf实现方式
Linuxprobe18的博客
09-27 625
导读 modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成产级的WAF,是保护和审核web安全的利器 软件环境:centos7,nginx-1.14.1,modsec-3.0.3,ModSecurity-nginx.git 软件环境安装 #第一:准备编译和依赖环境 yum ...
CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则
懂进攻知防守
11-04 3236
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurityModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecurity与nginx一起使用,需要此连接器。 ModSecurity...
docker-nginx-waf:Nginx反向代理与ModSecurity Web应用程序防火墙,SSL终止(certbot)和brotli压缩
04-12
vlche / nginx-waf 泊坞窗高山基于容器提供与 , 压缩和certbot为的SSL证书自动续订。 您可以将其用作多合一服务,也可以用作SSL / Load-Balancer前端和WAF后端/后端。 其他预配置的选项包括: 优化的中间ssl设置...
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
学习基于VUE的GIS.zip
05-25
"GIS" 通常指的是 地理信息系统(Geographic Information System)。它是一种特定的空间信息系统,用于捕获、存储、管理、分析、查询和显示与地理空间相关的数据。GIS 是一种多学科交叉的产物,涉及地理学、地图学、遥感技术、计算机科学等多个领域。 GIS 的主要特点和功能包括: 空间数据管理:GIS 能够存储和管理地理空间数据,这些数据可以是点、线、面等矢量数据,也可以是栅格数据(如卫星图像或航空照片)。 空间分析:GIS 提供了一系列的空间分析工具,用于查询、量测、叠加分析、缓冲区分析、网络分析等。 可视化:GIS 能够将地理空间数据以地图、图表等形式展示出来,帮助用户更直观地理解和分析数据。 数据输入与输出:GIS 支持多种数据格式的输入和输出,包括数字线划图(DLG)、数字高程模型(DEM)、数字栅格图(DRG)等。 决策支持:GIS 可以为城市规划、环境监测、灾害管理、交通规划等领域提供决策支持。 随着技术的发展,GIS 已经广泛应用于各个领域,成为现代社会不可或缺的一部分。同时,GIS 也在不断地发展和完善,以适应更多领域的需求。
一个自动格式化Python代码以符合PEP 8风格指南的工具.zip
05-25
一个自动格式化Python代码以符合PEP 8风格指南的工具
densenet模型-python语言pytorch框架训练识别水果形状分类-不含数据集图片-含逐行注释和说明档.zip
最新发布
05-25
densenet模型_python语言pytorch框架训练识别水果形状分类-不含数据集图片-含逐行注释和说明档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py件,十分的简便 且代码里面的每一行都是含有中注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的件夹下即可 在数据集件夹下是我们的各个类别,这个类别不是固定的,可自行创建件夹增加分类数据集 需要我们往每个件夹下搜集来图片放到对应件夹下,每个对应的件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的件夹下,就可以对代码进行训练了。 运行0
用Python编写的Facebook AI研究SequencetoSequence工具包.zip
05-25
用Python编写的Facebook AI研究SequencetoSequence工具包
densenet模型-深度学习CNN训练识别乐器分类-不含数据集图片-含逐行注释和说明档.zip
05-25
densenet模型_深度学习CNN训练识别乐器分类-不含数据集图片-含逐行注释和说明档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py件,十分的简便 且代码里面的每一行都是含有中注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的件夹下即可 在数据集件夹下是我们的各个类别,这个类别不是固定的,可自行创建件夹增加分类数据集 需要我们往每个件夹下搜集来图片放到对应件夹下,每个对应的件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的件夹下,就可以对代码进行训练了。 运行01成txt.py,是将
学习thinkphp6的视图条件比较标签
05-25
学习thinkphp6的视图条件比较标签
通过修正不正确的小程序来学习Go.zip
05-25
通过修正不正确的小程序来学习Go
Python高分项目 基于Django+MySQL实现的食谱及食物查询web源码+资料齐全+部署档.zip
05-25
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 Python高分项目 基于Django+MySQL实现的食谱及食物查询web源码+资料齐全+部署档.zip 1、代码压缩包内容 代码的项目件 部署件 2、代码运行版本 python3.7或者3.7以上的版本;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细) 3、运行操作步骤 步骤一:将代码的项目目录使用IDEA打开(IDEA要配置好python环境) 步骤二:根据部署档或运行提示安装项目所需的库 步骤三:IDEA点击运行,等待程序服务启动完成 4、python资讯 如需要其他python项目的定制服务,可后台私信博主(注明你的项目需求) 4.1 python或人工智能项目辅导 4.2 python或人工智能程序定制 4.3 python科研合作 Django、Flask、Pytorch、Scrapy、PyQt、爬虫、可视化、大数据、推荐系统、人工智能、大模型
Python高分项目 基于Django+sqlite3实现的任务管理追踪平台源码+资料齐全+部署档.zip
05-25
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 Python高分项目 基于Django+sqlite3实现的任务管理追踪平台源码+资料齐全+部署档.zip 1、代码压缩包内容 代码的项目件 部署件 2、代码运行版本 python3.7或者3.7以上的版本;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细) 3、运行操作步骤 步骤一:将代码的项目目录使用IDEA打开(IDEA要配置好python环境) 步骤二:根据部署档或运行提示安装项目所需的库 步骤三:IDEA点击运行,等待程序服务启动完成 4、python资讯 如需要其他python项目的定制服务,可后台私信博主(注明你的项目需求) 4.1 python或人工智能项目辅导 4.2 python或人工智能程序定制 4.3 python科研合作 Django、Flask、Pytorch、Scrapy、PyQt、爬虫、可视化、大数据、推荐系统、人工智能、大模型
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 5 template: metadata: labels: app: nginx spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringEXecution: nodeSelectorTerms: - matchExpressions: - key: gpu operator: In values: - "true" containers: - name: nginx image: registry.cn-hangzhou.aliyuncs.com/wsl_images/nginx:latest imagePullPolicy: IfNotPresent ports: - containerPort: 80 执行后报错[root@server1 ~]# kubectl apply -f nginx.yaml Error from server (BadRequest): error when creating "nginx.yaml": Deployment in version "v1" cannot be handled as a Deployment: strict decoding error: unknown field "spec.template.spec.affinity.nodeAffinity.requiredDuringSchedulingIgnoredDuringEXecution"
07-15
name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 5 template: metadata: labels: app: nginx spec: affinity: nodeAffinity: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值