modsecurity内存泄露_modsecurity规则分析

最新推荐文章于 2024-05-19 23:19:50 发布
最新推荐文章于 2024-05-19 23:19:50 发布
阅读量297 收藏
点赞数
文章标签: modsecurity内存泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39823017/article/details/111847407
版权

modsecurity规则分析

原文:    http://webutm.blogspot.com/

官网:    http://www.iisutm.com/

modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。

这两天分析了一下这两个规则集,初步整理如下。

规则来源及版本:

getroot免费规则:

http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz

modsecurity core rule:

http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

分析采用缺省规则进行,缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则)5373条, modsecurity有效规则126条。

分析包括参数(Variables)统计、变换函数(Transformation functions)统计和规则关联关系统计(chian,skip)。参数统计是统计出现次数,一条有效规则中可能出现几次,比如ARGS,一条规则可能出现多次,出现几次统计几次。变换函数一条规则中只只出现一次,因此和规则条数统计一致。关联关系统计是统计chain,skip,skipafter的次数,反应规则之间相互联系的统计。

统计结果如下:

getroot参数出现次数及排名:

7959 ARGS

3647 REQUEST_URI

313 REQUEST_BODY

250 url

237 REQUEST_HEADERS

199 params

136 link

96 Referer

95 User-Agent

86 id

79 team

77 redirect

76 comment

73 website

73 return

73 referrer

72 referer

71 ref

71 body

71 helpbox

71 ureferrer

71 refertoyouby

70 bg_image

70 imageFile

70 media_gallery

70 outbound

70 product

70 oaparams

70 loc

70 out

70 filecontent

70 images

69 redirect_to

69 ajaxurl

69 base_url

69 helpurl

69 backurl

69 serverurl

68 refer

68 siteurl

68 introtext

68 Post

68 resource

68 url2send

68 basehref

67 userpicpersonal

67 fck_body

67 attach-url

66 last_msg

66 referredby

66 stories_cat

66 fulltext

66 sUrl

66 thelink

66 HOMEPAGE_URL

66 texty

66 view

66 ATTACHMENTS_URL

66 resource_box

66 fck_brief

66 comments_commentFind

66 altTag

66 pay_list_type

66 areaContent2

66 FULL_URL

66 linkdescr

66 website_link

66 _wp_original_http_referer

66 products_image

66 inc

66 oldmsg

66 templatePath

65 request_url

64 blog_url

64 x_receipt_link_url

64 lk_url

64 clickurl

64 return_link_url

64 config_helpurl

64 install_url

getroot规则变换函数及排名:

262 urlDecode

262 urlDecodeUni

181 lowercase

170 compressWhitespace

135 htmlEntityDecode

110 replaceNulls

106 normalisePath

100 hexDecod

100 base64Decode

21 replaceComments

1 none

1 length

getroot规则关联关系次数统计:

1649 chain

modsecurity变量出现次数统计及排名:

68 REQUEST_HEADERS

30 XML

29 REQUEST_FILENAME

29 ARGS

22 RESPONSE_BODY

22 ARGS_NAMES

21 Referer

8 User-Agent

6 REQUEST_METHOD

5 REQUEST_HEADERS_NAMES

5 REQUEST_HEADERS

5 Content-Length

4 RESPONSE_STATUS

3 REQUEST_COOKIES

3 X-OS-Prefs

3 Host

3 REQUEST_COOKIES_NAMES

3 REQUEST_LINE

3 REQUEST_URI

3 Cookie

2 Content-Type

2 Transfer-Encoding

2 &GLOBAL

2 REMOTE_ADDR

2 Accept

2 Content-Encoding

2 via

2 REQUEST_BODY

2 REQUEST_PROTOCOL

modsecurity规则变换函数出现次数及排名:

123 none

62 lowercase

47 htmlEntityDecode

31 urlDecode

30 urlDecodeUni

24 compressWhitespace

16 replaceComments

2 length

modsecurity规则关联关系统计次数及排名:

19 chain

13 skip

weixin_39823017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ModSecurity介绍
曾虎的博客
09-14 1万+
ModSecurity介绍 一、什么是ModSecurity?         1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。        2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。        3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运
Mod_Security介绍
qq_33557485的博客
07-13 3456
官方介绍地址:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Introduction 一.简介 mod_security就是一个开源的WAF。特色是完整的http流量记录。提供实时的监控和攻击检测。(基于http的实时监控) (一)常用方式: 消极消极安全模型。监控异常请求,异常行为和常...
Web 应用防火墙:Modsecurity 和核心规则
allway2的博客
08-29 3518
通过将其集成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则集就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
Nginx - 集成ModSecurity实现WAF功能
最新发布
小工匠
05-19 1418
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
ModSecurity部署方式
weixin_42730268的博客
07-11 2065
ModSecurity 支持两个部署选项:嵌入式和反向代理部署。两种选择都有优点和缺点:嵌入式的 因为ModSecurity是一个Apache模块,所以可以将其添加到任何兼容版本的Apache中。ModSecurity已经移植到Nginx和IIS,后者引入了更广泛的平台选项。对于已经设计好了架构却不想改变原架构的情况来说,嵌入式选项是一个很好的选择。 如果需要保护百个Web服务器,那么嵌入式部署也是最好的选择。 在这种情况下,构建一个单独的基于代理的安全层是可行的。嵌入式Mod
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 2916
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和据,降低被入侵的风险,减少被通报的次ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
ModSecurity搭建过程(保姆级教学)
R.W.Y的博客
08-22 1111
ModSecurity 有一个默认的配置文件样本,样本路径为/etc/modsecurity/modsecurity.conf-recommended,我们将其复制到名为 modsecurity.conf 的配置文件,以启用和配置ModSecurityModSecurity在/usr/share/modsecurity-crs目录中设置了默认规则。要使新的规则对apache生效,我们使用vim编辑/etc/apache2/mods-enabled/security2.conf文件。
ModSecurity_3_NGINX_Quick_Start_Guide.pdf
07-30
ModSecurity_3_NGINX_Quick_Start_Guide.pdf
modsecurity-apache_2.5.13_src_bin.zip
07-31
这意味着ModSecurity可以分析并记录所有进出服务器的HTTP请求和响应头部信息,这对于安全分析和故障排查非常有用。同时,这个包包含源代码和编译好的执行文件,意味着用户既可以查看源码进行自定义配置,也可以直接...
modsecurity-2.9.2_apr-util-1.3.10_pcre-8.10_apr-1.4.2
06-22
modsecurity-2.9.2 apr-util-1.3.10 pcre-8.10 apr-1.4.2
Modsecurity-apache_2.5.13.tar.gz
03-23
3. **规则语言**:ModSecurity使用CRS(Core Rule Set)提供了一套预定义的规则,这些规则是用ModSecurity规则语言编写的。规则语言包括操作符、变量、条件等,允许精确匹配HTTP请求的各种元素。 **三、ModSecurity...
securing_webgoat_using_modsecurity
05-29
ModSecurity is an open source web application firewall that can work either embedded in an Apache web server or as a reverse proxy. The new features in version 2.0 and version 2.5 (released in ...
NGINX+ModSecurity搭建
qq_42890862的博客
01-05 3245
1、建立临时工作任务 [root@localhost ~]# cd /root && mkdir temporary && cd temporary/ 2、yum安装系统常用软件 [root@localhost temporary]# yum install epel-release [root@localhost temporary]# yum groupinstall ‘Development Tools’ -y 3、modsecurity依赖安装 [root@local
ModSecurity(3.0.x)部署
ss810540895的博客
12-08 1771
创建用于存在配置文件的文件夹将/usr/local/Modsecurity/modsecurity.conf-recommended复制到/usr/local/nginx/conf/modsecurity,并重命名为modsecurity.conf;将/usr/local/Modsecurity/unicode.mapping复制到/usr/local/nginx/conf/modsecurity;下载规则文件压缩包。
modsecurity配置指令学习
weixin_30819163的博客
11-21 628
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
modsecurity3.0安装部署
Eric
10-16 1407
Centos7.4 modsecurity with nginx 安装 1.安装依赖 yum install -y pcre pcre-devel openssl openssl-devel libtool libtool-ltdl-devel gcc gcc-c++ gcc-g77 autoconf automake geoip geip-devel libcurl libcurl-devel yajl yajl-devel lmdb-devel ssdeep-devel lua-devel 2
ModSecurity规则
专注企业信息安全-sec
05-04 5608
中文译文参考:http://netsecurity.51cto.com/art/201407/446264.htm 英文原文参考:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ 根据最新实践调整里面的细节内容,图片内容未调整: 0x00 背景 ModSecurity...
modsecurity规则解析
harfo555的博客
03-05 1761
例子: 防XSS攻击: SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR, deny,status:404" 请求据头部;正则匹配字符串<script>成功,规则执行;id为001;记录信息为XSS Attack;严重程度为ERROR;deny拒绝所有请求包;服务器响应状态编号为404 白名单: SecRule REMOTE_ADDR "@ipmatch 192
modsecurity系列四:规则实战2
webrtc
04-25 3435
Unconditional rules 无条件规则 The actions you specify in a SecRule execute when a match occurs, but you can use the SecAction directive to do something unconditionally. This directive accepts only one p
如何触发modsecurity_crs_41_xss_attacks.conf
05-22
ModSecurity CRS(Core Rule Set)是一组规则,用于保护Web应用程序免受常见攻击,如跨站点脚本(XSS),SQL注入和文件包含攻击等。 modsecurity_crs_41_xss_attacks.conf是其中一个规则文件,专门用于检测和预防XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值