modsecurity内存泄露_ModSecurity规则编写笔记

最新推荐文章于 2024-07-15 07:00:00 发布
最新推荐文章于 2024-07-15 07:00:00 发布
阅读量1.2k 收藏 1
点赞数
文章标签: modsecurity内存泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39911066/article/details/111847412
版权

一、ModSecurity的规则SecRule VARIABLES OPERATOR ACTIONSSecRule:ModSecurity主要的指令,用于创建安全规则。

VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。

OPERATOR:代表操作符,一般用来定义安全规则的匹配条件。常见的操作符包括:@rx(正则表达式)、@streq(字符串相同)、@ipmatch(IP相同)等。

ACTIONS:代表响应动作,一般用来定义数据包被规则命中后的响应动作。常见的动作包括:deny(数据包被拒绝)、pass(允许数据包通过)、id(定义规则的编号)、severity(定义事件严重程度)等。

二、ModeSecurity规则例解SecRule ARGS|REQUEST_HEADERS "@rx

Attack',severity:ERROR,deny,status:404"VARIABLES ARGS:所有请求参数;

REQUEST_HEADERS:请求数据头部。

OPERATOR @rx

ACTIONS id:001规定该条规则编号为001;

msg: 'XSS Attack’代表记录信息为:XSS Attack;

severity:ERROR表示严重程度为ERROR;

deny表示拒绝所有请求包;

status:404表示服务器响应状态编号为404。

规则2:设置白名单SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,

nolog,pass,ctl:ruleEngine=off"VARIABLES REMOTE_ADDR:远程主机IP

OPERATOR @ipmatch 192.168.1.9:如果请求主机IP地址为192.168.1.9,则规则执行。

ACTIONS id:002规定该条规则编号为002;

phase:1表示规则执行的范围为请求头部;

t:none表示VARIABLES的值不需要转换(t代表transform);

nolog代表不记录日志;pass代表继续下一条规则;

ctl:ruleEngine=off代表关闭拦截模式,所有规则失效。

说明:phase编号规定如下:Request Headers (1), Request Body (2), Response Headers (3),Response Body (4) and Logging (5).

规则3:SecRule ARGS:username "@streq admin" chain,deny,id:003

SecRule REMOTE_ADDR "!streq 192.168.1.9"VARIABLES ARGS:username所有表示请求参数中的用户名信息。

OPERATOR @streq admin表示用户名等于字符串"admin",则执行ACTIONS。

ACTIONS id:003规定该条规则编号为003;

chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9),才能执行下一个动作;

deny表示所有请求包被拒绝。

规则4:拒绝上传非图片格式文件SecRule FILES "!\\.(?i:jpe?g|gif|png|bmp)$" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'upload

no-picture file',id:0000001,phase:2“

规则5:拒绝上传含有空字符文件名SecRule FILES "@contains %00" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'filename

has null character',id:0000002,phase:2"

weixin_39911066
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables的基本规则
hahaha_yan的博客
12-06 726
一、相关概念 Iptables 利用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据报头数据与定义的规则来决定该数据包是否可以进入主机或者被丢弃,也就是说,根据数据包的分析资料比对预先定义的规则内容,若数据包数据与规则内容相同则进行动作,否则就继续下一条规则的比对,重点在比对与分析顺序。 Iptables的表格和链 Iptables名字的来由:因为这个防火墙软件里面有多个表格,每个表
modsecurity内存泄露_modSecurity规则学习(七)——防止SQL注入
weixin_39617473的博客
12-31 390
级别描述方法/正则高危SQL Injection Attack Detected via libinjection@detectSQLilibinjection参考https://github.com/client9/libinjection高危SQL Injection Attack: Common DB Names Detected(?i:\b(?:m(?:s(?:ysaccessobject...
iptables详解及docker的iptables规则
五侠的博客
10-31 2万+
iptables详解及docker的iptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令docker的iptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 docker的iptables规则 docker网络类型 数据包处理流程 ...
docker iptables详解
极客神殿
06-17 2033
该环境安装了docker ,并启动了一个容器做了端口映射docker数据如何经过iptables接着来梳理,数据经过iptables是如何处理的。首先需要了解iptablesiptables有4表()5链(查看各个表命令Filter表:过滤数据包NAT表:用于网络地址转换(IP、端口)Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表:决定数据包是否被状态跟踪机制处理INPUT。
docker 的 iptables策略详解和用户自定义策略的添加
最新发布
运维玄德公
07-15 895
docker 的 iptables策略详解和用户自定义策略的添加
学习iptables 学习查看docker网络配置
勤不了一点
05-14 317
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
modsecurity内存泄露_Modsecurity原理分析--从防御方面谈WAF的绕过(一)
weixin_39995280的博客
12-22 122
0x00 背景知识一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。笔者再次强调,如果你只是想学习WAF的绕过,我建议还是不要跟我的帖子了,我...
ModSecurity_3_NGINX_Quick_Start_Guide.pdf
07-30
以上知识点均来自于ModSecurity 3.0在NGINX上的快速入门指南,该指南由Faisal Memon、Owen Garrett和Michael Pleshakov编写,由NGINX, Inc出版于2017年。ModSecurity的开放源代码和社区驱动的特性使其被各个规模的...
modsecurity-apache_2.5.13_src_bin.zip
07-31
标题中的"modsecurity-apache_2.5.13_src_bin.zip"指示了这是一个与ModSecurity相关的Apache模块的源码及二进制文件的压缩包,版本为2.5.13。ModSecurity是一款开源的Web应用防火墙(WAF),能够保护服务器免受恶意...
modsecurity-2.9.2_apr-util-1.3.10_pcre-8.10_apr-1.4.2
06-22
modsecurity-2.9.2 apr-util-1.3.10 pcre-8.10 apr-1.4.2
WAF规则编写指南
03-01
较为详细的介绍了使用modsecurity rule language编写Rule。
linux 基础命令docker及防火墙iptables详解
hakksjss的博客
04-16 2333
{ "registry-mirrors": [ "https://6gyvb665.mirror.aliyuncs.com" ] } 配置阿里云源。docker (客户端) run(子命令) (镜像名称) 镜像地址: https://registry.hub.docker.com/:拒绝,给回应,服务端收到数据包,给客户端发送一个数据,告诉他不收了。删除失败大概率由于容器占用镜像资源,此时删除占用的容器即可。本质上容器为操作系统上的一个进程,但加入了对资源的限制。镜像创建时间,指仓库中创建的时间。
iptables 规则
yongyong169的博客
09-06 293
安装iptables yum install iptables-services.x86_64 -y systemctl enable iptables 关闭firewalld systemctl stop firewalld systemctl disable firewalld 编辑规则 vi /etc/sysconfig/iptables      限制主机去访问某个ip  ...
iptables规则
seaskyccl的博客
01-28 1131
"说明后,指的是相反的名称。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
【docker】Docker网络与iptables
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置。iptables在Docker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables。
modsecurity内存泄露_ModSecurity存在旁路漏洞
weixin_39608132的博客
12-22 263
ModSecurity存在旁路漏洞,不过貌似只影响到Windows系统(ASP、ASP.NET),使用Linux/UNIX系统的朋友可以松口气~~~下面是具体信息:========================================================================ModSecurity (Core Rules) HPP Filter Bypass Vul...
iptables 命令介绍
weixin_33964094的博客
04-19 1275
原文链接 iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。 首先介绍iptables的结构:iptables -> Tables -&...
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
如何触发modsecurity_crs_41_xss_attacks.conf
05-22
ModSecurity CRS(Core Rule Set)是一组规则,用于保护Web应用程序免受常见攻击,如跨站点脚本(XSS),SQL注入和文件包含攻击等。 modsecurity_crs_41_xss_attacks.conf是其中一个规则文件,专门用于检测和预防XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值