MODSecurity-刨析规则

已于 2024-05-12 10:54:05 修改
阅读量325 收藏 8
点赞数 3
分类专栏: 网络安全 文章标签: 服务器 运维
于 2024-05-12 10:53:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54147046/article/details/138748716
版权

modsecurity命中规则后的动作

  • allow: 命中了某条规则后,不需要对请求/响应应用其它规则,直接让请求通过。这个可以用于白名单。

  • block: 并不是一个真正的动作,它的行为取决于配置的默认动作,如果默认动作更新,使用block的规则行为也随即改变。在安全响应方面,它可用于批量进行规则作为更新。

  • deny: 中断规则处理,拦截请求/响应。在客户端的角度来说,这个动作会返回4xx或5xx的状态码(取决于规则定义status),但并没有中断当前的连接

  • drop: 对当前tcp连接进行关闭操作,它和deny的不同是:deny之后,客户端仍然可以提交请求,但使用drop后,客户端只有重新连接才可以访问。这个动作可以节省后端服务的连接数

  • pass: 命中某条规则继续匹配下一条规则。可用于对请求进行精细地过滤,但会对响应速度有较大影响。

  • pause: 命中某条规则,对当前事务暂停指定的毫秒。一般用于防止登录爆破。如果遭受DDOS攻击,会恶化整个web服务的响应速度

  • proxy: 把命中规则的请求转发到另外一个web服务去。这个功能类似反向代理。由于它对客户端完全来说,完全是无感知,可以用它导向请求到蜜罐系统。这个动作是一个非常优秀的动作。

  • redirect: 当规则被命中,它会返回一个重定向,指示浏览器访问另外一个url。它和proxy的区别是,它对客户端是感知。可用于配置新上线接口或屏蔽某些有问题的接口。

非获取匹配

匹配

(?:pattern):匹配指定内容,不形成组,一般与 | 搭配使用

(?!:pattern):匹配指定内容,不形成组,一般与 | 搭配使用,不区分大小写

预查模式

提取判断某区域是否为指定内容;不消耗字符内容,每次预查位置开始往前/后搜索

(?=pattern):正向肯定预查,从左向右查看文本,尝试匹配规则。一般用于后缀肯定判断

(?!pattern): 正向否定预查,从左向右查看文本,尝试匹配规则。一般用于后缀的否定判断

(?<=pattern): 反向肯定预查,从右向左查看文本,尝试匹配规则。一般用于前缀的肯定判断

(?<!pattern): 反向否定预查,从右向左查看文本,尝试匹配规则。一般用于前缀的否定判断

(?:pattern) VS (?=pattern)

共同点:

(?:pattern) 与 (?=pattern)都匹配pattern,但不会把pattern结果放到Matches的集合中。

区别:

(?:pattern) 匹配得到的结果包含pattern。 (?=pattern) 则不包含。

规则举例

示例:以某规则为例
该规则用以防范远程代码执行攻击,会在阶段2(请求体阶段)检查cookie值、cookie中字段名称、请求参数名称、请求参数值等变量中的字符串是否匹配正则表达式(检查 Windows FOR/IF 命令)中的内容。
SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "@rx \b(?:if(?:/i)?(?: not)?(?: exist\b| defined\b| errorlevel\b| cmdextversion\b|(?: |\().*(?:\bgeq\b|\bequ\b|\bneq\b|\bleq\b|\bgtr\b|\blss\b|==))|for(?:/[dflr].*)? %+[^ ]+ in\(.*\)\s?do)" \
   "id:932140,\
   phase:2,\
   block,\
   capture,\
   t:none,t:urlDecodeUni,t:cmdLine,\
   msg:'Remote Command Execution: Windows FOR/IF Command Found',\
   logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
   tag:'application-multi',\
   tag:'language-shell',\
   tag:'platform-windows',\
   tag:'attack-rce',\
   tag:'paranoia-level/1',\
   tag:'OWASP_CRS',\
   tag:'capec/1000/152/248/88',\
   tag:'PCI/6.5.2',\
   ctl:auditLogParts=+E,\
   ver:'OWASP_CRS/3.3.2',\
   severity:'CRITICAL',\
   setvar:'tx.rce_score=+%{tx.critical_anomaly_score}',\
   setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'"
    
示例:
get请求,请求路径:
编码前:/?test=for /r xxx %i in (*.txt) do @echo %i
编码后:/?test=for%20/r%20xxx%20%i%20in%20(*.txt)%20do%20@echo%20%i

规则刨析

SecRule  创建一个使用所选运算符分析指定变量的规则
----------------------------------------------------------------------------
REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* 
REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/  排除cookie值为:/__utm/外,所有请求cookie的集合(仅包含值),__utm不做为检查项

REQUEST_COOKIES_NAMES 所有请求cookie的名称的集合

ARGS_NAMES  所有请求参数名称

ARGS 请求参数的集合
 
XML  用于与XML解析器交互的特殊集合

@rx  使用正则表达式进行检查
-------------------------------------------------------------------------------------
\b
  (?:if
	(?:/i)?
	  (?: not)?
		(?: exist\b| defined\b| errorlevel\b| cmdextversion\b|
		(?: |\().*
          (?:\bgeq\b|\bequ\b|\bneq\b|\bleq\b|\bgtr\b|\blss\b|==)
		)
	|for(?:/[dflr].*)? %+[^ ]+ in\(.*\)\s?do)

可以进行匹配的字段:
if not exist    if/i not exist     if exist 
if not errorlevel    if/i not errorlevel    if errorlevel
if not cmdextversion    if/i not cmdextversion    if cmdextversion

# /i  not被?约束,即/i可以不存在,亦可以存在;not同理,如上述样例
if (xx)ege
if (xx)equ
if (xx)neq
if (xx)leq
if (xx)gtr
if (xx)lss
if (xx)==

for/dxxx %xx in(xxx) do

--------------------------------------------------------------------------------------------
   "id:11101,\		#规则id
   phase:2,\		#配置规则或规则链的处理阶段:2-请求阶段 4-响应阶段 5-日志记录阶段
   block,\			#执行SecDefaultAction定义的阻断性动作
   capture,\		#与正则表达式运算符(@rx)一起使用时,捕获操作将创建正则表达式捕获的副本,并将它们放入事务变量集合中
   t:none,t:urlDecodeUni,t:cmdLine,\ 
   #t:none用于删除当前规则关联的所有转换函数
   #t:urlDecodeUni:解码URL编码的输入字符串,支持Microsoft特定的%u编码
   #t.cmdLine:解决Windows和Unix中转义字符不同的问题
   msg:'Remote Command Execution: Windows FOR/IF Command Found',\
   #msg:将自定义信息分配给规则或规则链。 该消息将与每次警报一起记录到日志中。
   logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
   #logdata:将指定的数据片段记录为警报消息的一部分
   
   #tag:为规则或链指定标记(类别)
   tag:'application-multi',\
   tag:'language-shell',\
   tag:'platform-windows',\
   tag:'attack-rce',\
   tag:'paranoia-level/1',\
   tag:'OWASP_CRS',\
   tag:'capec/1000/152/248/88',\
   tag:'PCI/6.5.2',\
   ctl:auditLogParts=+E,\
   #ctl:在此次访问的基础上,临时修改ModSecurity配置。使用此操作所做的任何更改都将仅影响此次访问。
   ver:'OWASP_CRS/3.3.2',\ 		#指定规则集版本。
   severity:'CRITICAL',\		#指定规则的严重性。
   setvar:'tx.rce_score=+%{tx.critical_anomaly_score}',\
   # setvar:创建,删除或更新变量。变量名称不区分大小写。
   setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'"
   #要创建变量并将其值设置为1(通常用于设置标志),请使用:setvar:TX.score
   #要创建变量并同时对其进行初始化,请使用:setvar:TX.score=10
   #要删除变量,请在名称前加上感叹号:setvar:!TX.score
   #要增加或减少变量值,请在数值前面使用+和 - 字符:setvar:TX.score=+5

~komorebi
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ModSecurity规则库学习
慢慢来的博客
08-16 6313
OWASP ModSecurity Core Rule Set https://www.netnea.com/cms/core-rule-set-inventory/ 可以看到规则非常细, 整理分文章:https://yq.aliyun.com/ziliao/5287 1、主要规则文件: REQUEST-910-IP-REPUTATION.conf(可疑IP匹配) REQUEST-9...
Web 应用防火墙:Modsecurity 和核心规则
allway2的博客
08-29 3396
通过将其集成到您的 Web 服务器中,您可以确保在潜在危险请求到达您的 Web 应用程序或敏感数据从您的 Web 服务器泄漏之前被阻止。通过这种方式,您可以添加一个额外的防御层,从而为您的 Web 服务器或 Web 应用程序中的零日漏洞提供额外的保护。然后规则 980130 为我们提供了有关评分的更多信息:我们命中了偏执级别 1 的规则得分为 15,而其他偏执级别的规则对总分的贡献为 0。偏执程度越高,激活的规则就越多,因此核心规则集就越激进,提供更多保护,但也可能导致更多误报。(CRS) 的用武之地。..
“ModSecurity2”源码分
zhangge3663的博客
04-12 1830
一、相关结构体struct msre_engine{ apr_pool_t *mp; apr_table_t *variables; apr_table_t *operators; apr_table_t *actions; apr_table_t *tfns; apr_table_t *reqbody_processors; };//在msre_engine_variab...
利用ModSecurity防御暴力破解
收集盒 Book box
04-21 1177
在阅读本文前,先简单了解下什么是ModSecurity,ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙,相信不少商业WAF的签名开发同学也参考了ModSecurity的规则吧。 背景: 上周Wordpress网站遭受了大规模的暴力破解攻击,攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用
modsecurity系列三:规则3-Actions
webrtc
04-20 1318
Actions Actions make ModSecurity tick. They make it possible to react to events and, more importantly,they are the glue that hold everything else together and make the advanced features possible. T
modsecurity源码分
研究源码的最底层,只持有正确的仓位
01-15 3427
一。so文件导出结构在Mod_security2.c中的最后AP_MODULE_DECLARE_DATA security2_module全局变量. 该变量定义了hook的各个函数位置和处理的指令表。 二。指令处理。 1.SecRuleEngine On:由函数cmd_rule_engine处理,在Apache2_config.c中。 该函数主要是设置directory_config-&gt;is...
ModSecurity配置关键字说明
Zhao_S的专栏
06-23 8864
通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS] 阶段phase (1)request headers (2)request body (3)response headers (4)response body (5) logging 一、变量va
modsecurity-crs-docker:官方ModSecurity Docker + Core Rule Set(CRS)映像
05-19
ModSecurity核心规则集Docker映像...$ docker build --tag owasp/modsecurity-crs:v3.3.0-apache -f v3.3.0-apache/Dockerfile . 如果调用不带参数的make ,将构建所有发行版和Web服务器组合。 或者使用make VERSIONS
modsecurity-nginx-1.0.3
11-03
modsecurity-nginx-1.0.3 nginx 和 libmodsecurity 之间的连接器, 其实就是一个第三方 Nginx 模块, Nginx 可以通过静态或动态方式加载该模块。 下载地址git clone --depth 1 ...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
ModSecurity-nginx:ModSecurity v3 Nginx连接器
05-04
ModSecurity-nginx连接器是nginx和libmodsecurity(ModSecurity v3)之间的连接点。 换句话说,该项目提供了nginx和libmodsecurity之间的通信通道。 要使LibModSecurity与nginx一起使用,需要此连接器。 ModSecurity...
wordpress-modsecurity-ruleset:适用于WordPress的ModSecurity规则集(WPRS)
05-08
目录 联络人 安装只需使用git clone https://github.com/theMiddleBlue/wordpress-modsecurity-ruleset.git克隆此存储库 与OWASP CRS一起使用该规则集旨在与OWASP CRS3一起使用。 您只需要克隆此存储库,然后将其...
读“ModSecurity配置关键字说明”之摘抄
zhangge3663的博客
03-26 816
通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]阶段phase  (1) request headers  (2) request body  (3) response headers  (4) response body  (5) logging  一、变量variable  绿色:请求变量  蓝色:serve...
modsecurity设置规则防止SQL注入
技术转管理历程
03-16 5042
防止SQL注入 1)cd /etc/httpd/modsecurity-crs/rules 2)vi REQUEST-SELF-101-HASH.conf 写入 # # -=[ SQL Injection Character Anomaly Usage ]=- # # This is a paranoid sibling to 2.2.x Rule 981173. # The re
nc网络收发测试-tcp客户端\TCP服务器\UDP\UDP广播
06-14 250
nc网络收发测试-tcp客户端
百度网盘限速解决办法
生活在别处
06-13 1911
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
ASP 应用程序
csbysj2020的博客
06-09 358
ASP(Active Server Pages)是一种由微软开发的服务器端脚本环境,用于动态网页的创建。ASP允许开发者使用多种脚本语言,如VBScript或JScript,来创建交互式的网页。这些网页可以与数据库交互,处理表单数据,以及执行其他服务器端任务。ASP应用程序通常运行在Windows服务器上,并需要IIS(Internet Information Services)作为其Web服务器。
计算机网络(6) ICMP协议
最新发布
qq_42761215的博客
06-14 331
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
cd: /usr/local/modsecurity-2.9.3/modsecurity.conf-recommended/usr/local/nginx/conf/modsecurity/: 不是目录
01-31
cd: /usr/local/modsecurity-2.9.3/modsecurity.conf-recommended/usr/local/nginx/conf/modsecurity/ 不是目录,这是一个错误的路径。请确保输入的路径是正确的,并且目录存在。如果您需要进入一个目录,请使用cd...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值