基于nginx的waf方案naxsi源码理解(3)_规则详解

最新推荐文章于 2024-04-29 08:00:00 发布
最新推荐文章于 2024-04-29 08:00:00 发布
阅读量394 收藏
点赞数
分类专栏: # naxsi 文章标签: nginx naxsi web应用防火墙 waf api安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhjuan/article/details/131696851
版权
本文深入探讨Naxsi Web应用防火墙的规则类型,包括MainRule(黑规则)、BasicRule(白名单规则)和CheckRule(评分规则)。MainRule使用libinjection检测SQL和XSS攻击,BasicRule防止误报,CheckRule定义分数阈值决定行动。详细介绍了每种规则的结构和用途。
摘要由CSDN通过智能技术生成

naxsi规则类型

MainRule规则

MainRule规则是naxsi检测的黑规则,黑规则包括三类规则:
(1)libinjection检测规则库;
规则是按一定规则进行转化了的,详见后文,样式为:

0V&1BS
0V&1BV
0V&1C

(2)naxsi自带的规则库naxsi_core.rules;
规则样式:

MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;

在nginx http级生效。

(3)第三方规则库(https://github.com/nbs-system/naxsi-rules )也有MainRule规则。

BasicRule规则

主要为白名单规则,即使被黑名单检测到后,如果对应的黑名单规则在白名单内,就不会触发报警,黑名单规则样式:

BasicRule wl:1402 "mz:$HEADERS_VAR:content-type";

第三方规则库(https://github.com/nbs-system/naxsi-rules )有很多BasicRule规则。

CheckRule规则

定义当黑规则检测到的分数达到阀值时所采取的动作,只能在 nginx location级 设置,支持的动作有: LOG, BLOCK, DROP, ALLOW, 如:

location /a {
    CheckRule "$XSS >= 8" BLOCK;    // 当该一个请求的XSS攻击分值大于等于8时,根据DeniedUrl的设定进行跳转
    CheckRule "$SQL >= 8" DROP;     // 当该一个请求的SQL攻击分值大于等于8时,抛弃请求,不做任何回应
    CheckRule "$RFI >= 8" BLOCK;
    CheckRule "$TRAVERSAL >= 4" ALLOW;
    CheckRule "$EVADE >= 4" LOG;
}

MainRule规则

naxsi自己的规则

规则示例:

MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;

(1)MainRule: 主规则,也即黑规则;

(2)“str:/*” // 匹配模式及匹配字串
匹配模式共有4种:

  • str 如上例,表示是字符串查找匹配;
  • rx 表示的是正则表达式匹配;
  • d:libinj_xss 表示用libinjection库检测xss攻击;
  • d:libinj_sql 表示用libinjection库检测sql注入攻击;

(3)“msg:mysql comment (/*)” //描述段
对该规则的描述;

(4)“mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie” //匹配区域段
表示在一个请求,也就指定在http协议的那个区域做检测,

最低0.47元/天 解锁文章
zhjuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于nginxwaf方案naxsi理解(2)_安装运行
zhjuan的专栏
07-12 313
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙(waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
基于nginxwaf方案naxsi理解(4)_框架架构
zhjuan的专栏
07-14 512
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙(waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
Nginx使用naxsi防xss、防注入攻击配置
weixin_34235105的博客
11-09 452
== 对于nginx有相应模块来完成WAF构建,此处使用的是naxsi模块。 == 一、安装前提 1.必须安装了nginx并可提供基本服务(这个是添加模块儿的前提,自己google吧); 2.下载naxsi模块:Naxsi :http://naxsi.googlecode.com/files/naxsi-core-0.50.tgz ; 二、安装说明 ...
Naxsi 配置白名单
不负韶华梦为马
06-13 1736
Nginx下安装和配置完Naxsi之后,为了能够使网站能够区分非法行为和合法行为,需要管理员将合法行为列入白名单。管理员可以通过分析nginx的错误日志手动添加白名单规则,或者通过密集的自动学习工具(nxapi或nxtool),这些工具将自动生成有关网站行为的白名单规则。本文主要介绍白名单规则以及如何通过分析nginx错误日志手动添加白名单规则。 白名单规则配置 nax...
Nginx - 安装配置naxsi waf防火墙(附完整编译、配置)
最新发布
简单记录一下。
04-29 1040
Naxsi 是第三方 nginx 模块 ,它和 Modsecurity 都是开 WAF ,但是它们的防御模式不同。Naxsi 不依赖像防病毒软件这样的签名库,因此不会被“未知”攻击模式所规避,它就像是 windows 下默认的防火墙。Naxsi 和其他 WAF 之间的另一个主要区别就是仅过滤 GET 和 POST 请求。之前一直在用 modsecurity ,效果还不错,但是它对 nginx 支持真的不太好~.~。经常会产生大量错误日志,不过这个并不影响它的正常功能,只是看着揪心。
Nginx+Naxsi(web防火墙)防止XSS和SQL注入攻击的解决方案
07-24 2031
Naxsi是一个开放代码、高效、低维护规则Nginx web应用防火墙(Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。 1、下载并解压nginxnaxsi文件 # cd /usr/local/src/ # wget http://nginx.org/download/ng...
推荐开项目:Naxsi
gitblog_00062的博客
03-14 355
推荐开项目:Naxsi 项目简介 Naxsi 是一个高性能的 Web 应用防火墙(WAF),致力于保护 web 应用程序免受恶意攻击。Naxsi 可以作为一个模块集成到 Nginx 中,为你的网站提供实时的安全防护。 功能与应用 Naxsi 的主要功能包括: 规则引擎:Naxsi 提供了一套灵活的规则引擎,可以自定义安全策略以应对各种类型的攻击。 白名单机制:通过白名单,你可以指定某些合法请求...
基于nginxwaf方案naxsi理解(1)_naxsi介绍
zhjuan的专栏
07-11 473
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙(waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
基于nginxwaf方案naxsi理解(5)-主要结构体
07-17
Naxsi是一个强大的Web应用程序防火墙(WAF),它作为Nginx的一个模块运行,用于保护网站免受各种类型的攻击,如SQL注入、XSS、CSRF等。Naxsi的核心在于其规则引擎,该引擎解析并执行由`naxsi_core.rules`配置文件...
nginx-naxsi白名单规则详解
01-10
白名单规则语法: BasicRule wl:ID [negative] [mz:[$URL:target_url]|[match_zone]|[$ARGS_VAR:varname]|[$BODY_VARS:varname]|[$HEADERS_VAR:varname]|[NAME]] wl:ID (White List ID) 哪些拦截规则会进入白名单...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
纳克西:NAXSINGINX的开,高性能,低规则维护WAF
01-31
非常简单,这些模式可以匹配合法查询,纳克西(Naxsi)的管理员的职责是添加将合法行为列入白名单的特定规则。 管理员可以通过分析nginx的错误日志来手动添加白名单,也可以(建议)从密集的自动学习阶段开始该项目...
WAF攻防—绕过IP封锁(代理池)
pingan233的博客
03-10 1746
这里演示使用扫目录来进行演示,其它的都是差不多的,在信息收集的时候,除了有些硬性的收集可以使用外部的方式来解决,比如子域名可以使用在线的子域名收集、端口收集可以使用一些在线的端口收集或者手动去扫描,但是像目录这类多数都需要使用本地的字典来扫描。至于你使用payload或者POC被拦截,这个如果说工具是开的,那么你可以在工具中修改payload或者POC进行绕过,绕过说工具不是开的,那么也是无法绕过的,至少说使用代理池,可以避免自己的IP被封,后续也会有更多的手动操作的机会。所以这里我们都演示一下。
nginx下安装配置naxsi waf防火墙
咋个办呢 zgbn
02-23 1475
nginx下安装配置naxsi waf防火墙(附完整编译、配置) 转:http://f2ex.cn/nginx-installed-configuration-naxsi-waf/ Naxsi 是第三方 nginx 模块 ,它和 Modsecurity 都是开 WAF ,但是它们的防御模式不同。 Naxsi 不依赖像防病毒软件这样的签名库,因此不会被“未知”攻击模式所规避,它就像是 wi...
nginx ngx_waf模块 使用总结
lzw_me
12-13 2069
ngx_waf 核心规则naxsi_core.rules配置参考naxsi_core.rulesnaxsi/naxsi_core.rules at master · nbs-system/naxsi · GitHubhttps://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules 白名单规则naxsi_whitelists.rules): SecRulesEnabled; DeniedUrl "/...
[nginx]-nginx 安装naxsi模块
爷来辣的博客
07-09 2530
nginx 安装naxsi模块 如果需要 替换yum为阿里 查询已安装的yum rpm -qa | grep yum 使用root权限卸载已安装的yum rpm -qa | grep yum | xargs rpm -e --nodeps 三、下载并安装阿里的yumrpm包 创建安放rpm包的文件夹 cd /etc/yum.repos.d/ mkd...
naxsi 参数详解
cnbird's blog
02-19 1924
可惜了,不能过滤RESPONSE的内容。 https://github.com/cloudescape/naxsi
[转]Web应用防火墙WAF详解
热门推荐
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
深入理解Nginx码:关键模块与工作原理详解
Nginx码分析深入探讨了Nginx服务器的设计与核心功能,帮助读者更好地理解和掌握这款高性能的Web服务器的工作原理。该教程从服务器的进程模型出发,解释了Nginx采用的master-worker架构,其中master进程负责全局...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhjuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值