通用格式
SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]
阶段phase
(1) request headers
(2) request body
(3) response headers
(4) response body
(5) logging
一、变量variable
绿色:请求变量 蓝色:server变量 紫色:响应变量 红色:请求体解析变量 黑色:时间变量 橙色:实体变量
ModSecurity |
| ARGS 请求参数,类型read-only collection |
| ARGS_COMBINED_SIZE 请求参数的总大小 |
| ARGS_NAMES 请求参数的名字,类型read-only collection |
| ARGS_GET 查询字符串参数,类型read-only collection |
| ARGS_POST 请求体参数,类型read-only collection |
| ARGS_POST_NAMES 请求体参数的名字,类型read-only collection |
| FILES 上传文件域,类型read-only collection |
| FILES_COMBINED_SIZE 上传文件大小 |
| FILES_NAMES 上传文件表单文件域参数的名字,类型read-only collection |
| FILES_SIZES上传文件的大小,类型read-only collection |
| FILES_TMPNAMES 文件临时名字,类型read-only collection |
| PATH_INFO URI path |
| QUERY_STRING 查询字符串 |
| REQUEST_BASENAME URI basename,同时支持/与\这两种文件分隔符 |
| REQUEST_BODY 请求体,默认处理application/x-www-form-urlencoded请求 |
| REQUEST_COOKIES cookie参数 |
| REQUEST_COOKIES_NAMES cookie参数的名字,类型read-only collection |
| REQUEST_COOKIES_FILENAME URI filename/path |
| REQUEST_HEADERS 请求头,类型read-only collection |
| REQUEST_HEADERS_NAMES 请求头参数的名字,类型read-only collection |
| REQUEST_LINE 请求行 |
| REQUEST_METHOD 请求方法 |
| REQUEST_PROTOCOL 请求协议 |
| REQUEST_URI 请求URI,但不包括hostname |
| REQUEST_URI_RAW请求URI,包括hostname |
| AUTH_TYPE 认证类型,代理模式下非本地认证,需要指定Authorization头 |
| REMOTE_ADDR 远程地址,访问者ip |
| REMOTE_HOST 远程host,访问者hostname,当HostnameLookUps开启时,为dns解析的域名,否则为ip地址 |
| REMOTE_PORT 远程端口,访问者端口 |
| REMOTE_USER 访问者用户名 |
| SERVER_ADDR 服务端地址 |
| SERVER_NAME 服务端hostname,取值Host请求头 |
| SERVER_PORT 服务端端口 |
| SCRIPT_BASENAME 脚本basename,代理模式不可用 |
| SCRIPT_FILENAME 脚本filename,代理模式不可用 |
| SCRIPT_GID 脚本group ID,代理模式不可用 |
| SCRIPT_GROUPNAME 脚本group name, 代理模式不可用 |
SCRIPT_MODE 脚本权限,代理模式不可用 1 表示可执行 2 表示可写 4 表示可读 7 表示可读可写可执行 |
| SCRIPT_UID 脚本user ID,代理模式不可用 |
| SCRIPT_USERNAME 脚本user name,代理模式不可用 |
| RESPONSE_BODY 响应体 |
| RESPONSE_CONTENT_LENGTH 响应实体长度,单位bytes |
| RESPONSE_CONTENT_TYPE 响应实体类型,仅仅在phase3可用 |
RESPONSE_HEADERS 响应头,类型read-only collection 在内嵌模式中,像那种会优先将数据发送给客户端的响应头是不可获得的,例如Server,Date,Connection,Content-Type 在代理模式中,阶段5可用 |
RESPONSE_HEADERS_NAMES 响应头参数的名字,类型read-only collection 在内嵌模式中,像那种会优先将数据发送给客户端的响应头是不可获得的,例如Server,Date,Connection,Content-Type 在代理模式中,阶段5可用 |
| RESPONSE_PROTOCOL 响应协议 |
| RESPONSE_STATUS 响应码,仅代理模式可用 |
TX 事件内变量,类型read/write collection 当使用operator @rx或@pm时,TX:0表示capture action捕获的变量 TX:1-TX:9:表示capture action捕获的子串 |
| RULE rule元数据,类型read/write collection, 用于设置Rule对象的属性:id,rev,severity,logdata,msg |
SESSION session数据,类型read/write collection 仅当setsid action执行后使用,session对象的属性,SCORE得分,BLOCKED是否阻塞 |
| GEO geo信息,类型read-only collection |
| ENV 环境变量,类型read-only collection,但可以使用setvar来修改变量的值 |
| GLOBAL 全局变量,类型read/write collection |
| IP 存储的ip数据,类型read/write collection |
| USER user数据,类型read/write collection |
| XML xml dom相关的,类型read-only collection |
| HIGHEST_SEVERITY 严重级别,值越小级别越高,255表示未设置严重级别 |
| MATCHED_VAR 最近一次匹配的变量 |
| MATCHED_VAR_NAME 最近一次匹配的变量的名字 |
| MODSEC_BUILD modsecurity版本号 |
SESSION_ID sessionID |
| USERID user ID |
| WEBAPPID web app ID |
| WEBSERVER_ERROR_LOG server产生的错误信息 |
| TIME HH:mm:ss |
| TIME_DAY 1-31 |
| TIME_EPOCH |
| TIME_HOUR 0-23 |
| TIME_MIN 0-59 |
| TIME_MON 0-11 |
| TIME_SEC 0-59 |
| TIME_WDAY 0-6 |
| TIME_YEAR |
| DURATION 时间花费,milliseconds |
| MULTIPART_BOUNDARY_QUOTED multipart 解析错误;boudnary中有引号 |
| MULTIPART_BOUNDARY_WHITESPACE multipart解析错误:boudnary中有空格 |
| MULTIPART_CRLF_LF_LINES multipart 解析错误:混合使用\r\n与\n作为分界线,当允许使用混合符号时设置为1 |
| MULTIPART_DATA_BEFORE multipart 解析错误:第一个boudnary前有数据 |
| MULTIPART_DATA_AFTER multipart 解析错误:最后一个boudnary后有数据 |
| MULTIPART_HEADER_FOLDING multipart解析错误:boudnary中 |
| MULTIPART_LF_LINE multipart解析错误:使用\n作为分界线 |
| MULTIKPART_SEMICOLON_MISSIONG multipart解析错误:缺少分号 |
MULTIPART_STRICT_ERROR 当以下值为1时,该值为1; REQBODY_PROCESSOR_ERROR MULTIPART_BOUNDARY_QUOTED MULTIPART_BOUNDARY_WHITESPACE MULTIPART_DATA_BEFORE MULTIPART_DATA_AFTER MULTIPART_HEADER_FOLDING MULTIPART_LF_LINE 使用换行做分界线 MULTIPART_SEMICOLON_MISSING 分号缺失 MULTIPART_INVALID_QUOTING 无效引号 |
| MULTIPART_INVALID_QUOTING multipart解析错误:无效引号 |
| MULTIPART_UNMATCHED_BOUDNARY multipart解析错误:不合规范的boudnary,容易漏报 |
| REQBODY_PROCESSOR 处理request解析,内置的解析功能包括URLENCODED,MULTIPART,XML |
| REQBODY_PROCESSOR_ERROR request解析错误标记,1表示错误,0表示ok |
| REQBODY_PROCESSOR_ERROR_MSG request解析错误信息 |
| URLENCODED_ERROR 当解析application/x-www-form-urlencoded格式的请求体出错时值为1 |
| ModSecurity |
| @beginsWith |
| @contains |
| @containsWord |
| @endsWith |
| @rx |
| @pm 特征字符串的匹配,大小写不敏感,基于Aho-Corasick匹配算法 |
| @pmFromFile 从文件读取匹配特征字符串 |
| @streq |
| @within |
| @eq |
| @ge |
| @gt |
| @le |
| @lt |
| @validateByteRange |
| @validateDTD XML相关 |
| @validateSchema XML相关 |
| @validateUrlEncoding |
| #validateUtf8Encoding |
| @geoLookup |
| #inspectFile 使用外部脚本处理 |
| @rbl 去RBL REAL-TIME BLANKHOLE LISTS反垃圾邮件黑名单里查找ipv4地址,或hostname |
| @verifyCC |
三、事件函数transform function
| ModSecurity |
| base64Decode |
| base64Encode |
| compressWhitespace |
| cssDecode |
| escapeSeqDecode 解码ANSI/C escape序列 |
| hexDecode |
| hexEncode |
| htmlEntityDecode |
| jsDecode |
| length |
| lowercase |
| md5 |
| none 移除当前rule的所有transformation functions |
| normalizePath 移除掉多个斜杠 |
| normalizePathWin 移除掉多个斜杠,但首先会将\(win正斜杠)转化成/(linux反斜杠) |
| parityEven7bit |
| parityOdd7bit |
| parityZero7bit |
| removeNulls 删除空字节 |
| removeWhiteSpace 删除空格字符 |
| replaceComments 将c格式的注释语句/*...*/转换为空格ASCII 32 |
| replaceNulls 将null字节转换为空格ASCII 32 |
| urlDecode |
| urlDecodeUni url解码%uXXXX编码范围FF01-FF5E |
| urlEncode |
| sha1 |
| trimLeft 移除左边的空格 |
| trimeRight移除右边的空格 |
| trim 移除左右两端的空格 |
四、动作action
绿色:disruptive action (每个rule只能有1个disruptive action,如果有多个disruptive action,那么只有最后一个有效,在rule chain中,disruptive action只能出现在第一个rule中)
蓝色:flow action 紫色:metadata action 红色:variable action 黄色:logging action 灰色:special action 黑色:其他
| ModSecurity |
allow 2.5版本之前是只影响当前阶段 2.5版本之后,遵守以下规则 (1) 如果单独使用,除了log阶段,其他阶段都停止处理 (2) 如果和参数phase一起使用,allow将停止当前阶段的处理,其他阶段不受影响 |
| block 相当于占位符,会被上下文的SecDefaultAction 指令中的动作取代 |
| deny 使用错误页面block当前事务 |
| drop 断开网络连接 |
| pass 继续执行下一个规则 |
| proxy 代理请求到后端web server |
| redirect 重定向请求到其他web server |
| chain 相当于多个规则的and操作 |
| skip 跳过指定的规则,值为跳过的规则个数,不能跳过同一个规则链中的规则 |
| skipAfter 调转到指定的规则 |
| id 设置规则ID |
| phase 指明处理阶段 |
| msg |
| rev 设置版本号 |
| severity 设置rule的严重级别,最好用文本来指定,v2.5.0版本已经弃用 |
| tag |
| capture 将捕获结果存入TX变量,可以存储10个变量,tx变量集合的下标为0-9 |
| deprecatevar 设置指定时间内递减数字型变量 |
| expirevar 设置指定时间内移除过期的变量 |
| initcol 创建持久性collections,通常在阶段1中设置 |
| setenv 设置环境变量 |
| setvar 设置变量 |
| setuid 设置当前事务的user ID |
| setsid 设置当前事务的session ID |
| auditlog 将当前事务记录到log中 |
log |
| logdata |
| noauditlog |
| nolog |
| sanitiseArg 在日志中将指定的请求参数替换为* |
| sanitiseMatched 在日志中将指定的请求参数,请求头,响应头替换为* |
| sanitiseRequestHeader 在日志中将指定的请求头替换为* |
| sanitiseResponseHeader 在日志中将指定的响应头替换为* |
| ctl 改变当前事务的配置 |
| multiMatch 每次变量发生变化会进行以此匹配计算 |
| t 在对变量做匹配操作前指定调用的事务处理函数 |
| append 响应体中注入内容,该action必须开启SecContentInjection指令 |
| exec 执行外部脚本或二进制文件 |
| pause 暂定事务处理 |
| prepend 响应体中注入内容,该action必须开启SecContentInjection指令 |
| status action 为deny与redirect action时指定响应码 |
| xmlns XML专用 |
五、指令directory
| ModSecurity |
| SecRule |
| SecRuleInheritance |
| SecRuleRemoveById |
| SecRuleRemoveById |
| SecRuleUpdateActionById 更新指定RuleID的rule action |
| SecRuleScript |
| SecMarker |
| SecAction |
| SecDefaultAction 设置默认的action |
: 数组取值操作符 eg.ARGS:p
! 非操作符 eg:ARGS|!ARGS:z
@ 操作符函数调用 eg. @rx
t 事务函数调用 eg.t:lowercase
& 取数组个数符 eg.&ARGS @ge 1
%{COLNAME.VARNAME} 变量扩展符 eg.SecRule REQUEST_URI_RAW "!@beginsWith http://%{REQUEST_HEADERS.Host}" "drop,tag:'WEB_ATTACK/ILLEGALHTTPPROTOCOL',msg:'host header illegal',id:00001,phase:2"
8870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
