基于nginx的waf方案naxsi源码理解(3)_规则详解

最新推荐文章于 2023-07-21 14:20:08 发布
VIP文章 最新推荐文章于 2023-07-21 14:20:08 发布
阅读量341 收藏
点赞数
分类专栏: # naxsi 文章标签: nginx naxsi web应用防火墙 waf api安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhjuan/article/details/131696851
版权

naxsi规则类型

MainRule规则

MainRule规则是naxsi检测的黑规则,黑规则包括三类规则:
(1)libinjection检测规则库;
规则是按一定规则进行转化了的,详见后文,样式为:

0V&1BS
0V&1BV
0V&1C

(2)naxsi自带的规则库naxsi_core.rules;
规则样式:

MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;

在nginx http级生效。

(3)第三方规则库(https://github.com/nbs-system/naxsi-rules )也有MainRule规则。

BasicRule规则

主要为白名单规则,即使被黑名单检测到后,如果对应的黑名单规则在白名单内,就不会触发报警,黑名单规则样式:

BasicRule wl:1402 "mz:$HEADERS_VAR:content-type";

第三方规则库(https://github.com/nbs-system/naxsi-rules )有很多BasicRule规则。

CheckRule规则

定义当黑规则检测到的分数达到阀值时所采取的动作,只能在 nginx location级 设置,支持的动作有: LOG, BLOCK, DROP, ALLOW, 如:

location /a {
    CheckRule "$XSS >= 8" BLOCK;    // 当该一个请求的XSS攻击分值大于等于8时,根据DeniedUrl的设定进行跳转
    CheckRule "$SQL >= 8" DROP;     // 当该一个请求的SQL攻击分值大于等于8时,抛弃请求,不做任何回应
    CheckRule "$RFI >= 8" BLOCK;
    CheckRule "$TRAVERSAL >= 4" ALLOW;
    CheckRule "$EVADE >= 4" LOG;
}

MainRule规则

naxsi自己的规则

规则示例:

MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;

(1)MainRule: 主规则,也即黑规则;

(2)“str:/*” // 匹配模式及匹配字串
匹配模式共有4种:

  • str 如上例,表示是字符串查找匹配;
  • rx 表示的是正则表达式匹配;
  • d:libinj_xss 表示用libinjection库检测xss攻击;
  • d:libinj_sql 表示用libinjection库检测sql注入攻击;

(3)“msg:mysql comment (/*)” //描述段
对该规则的描述;

(4)“mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie” //匹配区域段
表示在一个请求,也就指定在http协议的那个区域做检测,

最低0.47元/天 解锁文章
zhjuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于nginxwaf方案naxsi源码理解(5)-主要结构体
07-17
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串...
基于nginxwaf方案naxsi源码理解(4)_框架架构
zhjuan的专栏
07-14 499
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
基于nginxwaf方案naxsi源码理解(2)_安装运行
zhjuan的专栏
07-12 286
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
基于nginxwaf方案naxsi源码理解(7)_检测处理
zhjuan的专栏
07-19 392
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
基于nginxwaf方案naxsi源码理解(9)_配置说明
zhjuan的专栏
07-21 172
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
nginx-naxsi白名单规则详解
09-29
今天小编就为大家分享一篇对nginx-naxsi白名单规则详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
纳克西:NAXSINGINX的开源,高性能,低规则维护WAF
01-31
非常简单,这些模式可以匹配合法查询,纳克西(Naxsi)的管理员的职责是添加将合法行为列入白名单的特定规则。 管理员可以通过分析nginx的错误日志来手动添加白名单,也可以(建议)从密集的自动学习阶段开始该项目...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
飞歌G6IV刷机包,恢复出厂解决车机问题
05-05
飞歌G6IV刷机包,恢复出厂解决车机问题
人工智能大作业-无人机图像目标检测.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
node-v10.9.0-linux-s390x.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Telecord机器人,无electron依赖。.zip
05-05
无人机最强源码,无人机算法,易于部署和学习交流使用
中国统计NJ面板数据-(更新至2022年)林业有害生物防治情况.xls
最新发布
05-06
数据来源:中国统计NJ-2023版
无人机共享平台小程序.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
node-v10.14.2-linux-ppc64le.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
en-PP-OCRv3-det.onnx
05-05
PP-OCR det
毫无特色的 QQ 机器人.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
麦肯锡 营销 概述与基本框架gl.ppt
05-05
麦肯锡 营销 概述与基本框架gl.ppt
nginx try_files详解
08-09
nginx的try_files指令用于在处理请求时进行文件查找并执行不同的操作。它的语法如下: ``` try_files file ... uri; ``` 其中,`file`是要查找的文件路径,可以是绝对路径或相对路径。`uri`是要重写的URI或转发的URI。 当接收到一个请求时,Nginx会按照try_files指令中的顺序依次查找文件。如果找到了指定的文件,Nginx会返回该文件的内容。如果找不到文件,则会将请求重写为指定的URI,并继续查找。如果最后一个URI也找不到文件,则会返回404错误页面。 举个例子,假设我们有一个目录结构如下: ``` - /var/www/html/ - index.html - images/ - logo.png ``` 我们可以使用try_files指令来配置Nginx: ``` location / { try_files $uri $uri/ /index.html; } location /images/ { try_files $uri $uri/ =404; } ``` 在上面的配置中,如果请求的URI匹配到`/images/`,Nginx会先尝试查找该URI对应的文件。如果找到了文件,比如`/images/logo.png`存在,则会返回该文件。如果找不到文件,则会继续尝试查找`/images/logo.png/`这样的目录。如果目录也不存在,则会返回404错误。 对于其他请求,比如`/about`,Nginx会先尝试查找该URI对应的文件。如果找到了文件,比如`/var/www/html/about`存在,则会返回该文件。如果找不到文件,则会继续尝试查找`/var/www/html/about/`这样的目录。如果目录也不存在,则会返回`/var/www/html/index.html`文件的内容。 总之,try_files指令提供了一种方便的方式来处理文件查找和请求重写,使得我们能够更灵活地配置Nginx的行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhjuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值