Modsecurity -阻止request_uri，但返回代码200

Modsecurity是一个开源的Web应用程序防火墙（WAF），用于保护Web应用程序免受各种网络攻击。它可以在Web服务器上部署，拦截和检测恶意请求，并采取相应的措施来阻止攻击。

阻止request_uri是Modsecurity的一项功能，它允许管理员配置规则来拦截具有特定request_uri的请求。request_uri是URL中的一部分，表示请求的资源路径。通过阻止特定的request_uri，可以有效地防止一些常见的攻击，如SQL注入、跨站脚本攻击（XSS）等。

然而，尽管Modsecurity拦截了请求，但返回代码200表示请求成功。这可能是因为Modsecurity在拦截请求时，不会直接返回错误代码，而是将请求传递给后端应用程序进行处理。如果后端应用程序成功处理了请求，它会返回代码200，即使Modsecurity已经拦截了该请求。

对于这种情况，建议管理员在配置Modsecurity规则时，除了阻止request_uri外，还应该配置适当的动作来处理被拦截的请求。可以选择返回错误代码，或者重定向到其他页面，以提醒用户请求被拦截。

腾讯云提供了Web应用防火墙（WAF）服务，可以帮助用户保护Web应用程序免受各种攻击。WAF可以与Modsecurity结合使用，提供更全面的安全保护。您可以在腾讯云官网了解更多关于腾讯云WAF的信息：腾讯云WAF产品介绍。

相关·内容

ModSecurity：一款优秀的开源WAF

：阻止PHP代码注入 HTTP Protocol Violations：阻止违反HTTP协议的恶意访问 HTTPoxy：阻止利用远程代理感染漏洞进行攻击 Shellshock：阻止利用Shellshock...漏洞进行攻击 Session Fixation：阻止利用Session会话ID不变的漏洞进行攻击 Scanner Detection：阻止黑客扫描网站 Metadata/Error Leakages：阻止源代码.../ { default_type text/plain; return 200 "Thank you for requesting ${request_uri}\n"; } }...时，我们将演示应用程序配置为为每个请求返回状态代码200,但实际上并没有返回这些文件,Nikto将这200个状态码解释为它请求的文件确实存在,所以报告出83个问题，为了优化nikto，去除误报，我们做如下配置...但总体还是抵御了绝大部分的nikto的漏洞扫描。 ?

2.9K2 1

返回304与200代码的区别什么?

304 在嗅探抓包过程中，常见的有两种200和304。这两个状态码都关系到能否获取重要信息。...当客户第一次请求服务器资源，服务器成功返回资源，这时状态码为200；往往看到200就表示资源可访问如果刷新还是 200 则表示没有经过网络请求；304代表与服务器通信了，然而资源没有发生改变就是304

5682 0

ModSecurity安装了，不懂原理和规则？这篇帮你搞定

#SecRuleEngine On：将在服务器上激活ModSecurity防火墙。它会检测并阻止该服务器上的任何恶意攻击。...04))" #记录由规则标记的事务，以及触发服务器错误(由5xx或4xx确定，不包括404， #级别响应状态代码)。...记住一点，如果使用了这个参数，那么返回状态码是200 的成功攻击事件不会记录。 SecAuditLogParts ABIJDEFHZ #定义每个事务中记录到审计日志中的部分。默认：ABCFHZ. ?...，并指定要使用的代码点。...默认的Modsecurity只有上面几个规则，对于web防护来说肯定是不够的，而OWASP维护了一套核心的规则集，包括200多个ModSecurity规则，基本覆盖了所有攻击类型的规则，有大佬整理了所有

3.5K3 0

基于Ubuntu 的LAMP 优化加固

install php-apc 2、php5-MySQL 模块精简 php5-mysql 软件包默认包含了3种mysql连接方式，分别是mysql，pdo_mysql和mysqli，三者虽各有优劣，但你用到的肯定只有其中的一种...apt-get install libapache-mod-security cd /etc/modsecurity/ cp modsecurity.conf-recommended modsecurity.conf...gzip-only-text/html # Don't compress images and other SetEnvIfNoCase Request_URI...g|png)$ no-gzip dont-vary SetEnvIfNoCase Request_URI .(?:exe|t?...gz|zip|bz2|sit|rar)$ no-gzip dont-vary SetEnvIfNoCase Request_URI .(?

3542 0

宝塔面板 Apache ModSecurity 搭建Waf

但这仍避免不了攻击。该如何解决呢？这时就需要WAF(web防火墙)来保护我们的网站了。但是阿里云和腾讯云的waf着实有点贵，动不动就上万了。哪么该如何解决呢？...但都是收费的。（其实就是在开源的waf基础上魔改的，收费就太恶心了。）主要方方sql注入、xss、一句话等常见渗透攻击。一年就要四百多，怎么不去抢！...功能 SQLi：阻止SQL注入 XSS：阻止跨站脚本攻击 LFI：阻止利用本地文件包含漏洞进行攻击 RFI：阻止利用远程文件包含漏洞进行攻击 RCE：阻止利用远程命令执行漏洞进行攻击 PHP Code...：阻止PHP代码注入 HTTP Protocol Violations：阻止违反HTTP协议的恶意访问 HTTPoxy：阻止利用远程代理感染漏洞进行攻击 Sshllshock：阻止利用Shellshock...漏洞进行攻击 Session Fixation：阻止利用Session会话ID不变的漏洞进行攻击 Scanner Detection：阻止黑客扫描网站 Metadata/Error Leakages：阻止源代码

1.4K2 0

centos7环境下ModSecurity-envoy编译和测试（二）-野路子技术宅

'" 可用的值是： On：开启规则匹配并进行相应的拦截 Off：关闭规则匹配，默认关闭 DetectionOnly：开启规则匹配，但不执行任何拦截操作（阻止...: Access denied with code 200 (phase 1)....Scoring mod 独自控制模式 Self-contained mode 案例1：只要检测到威胁，则使用”deny”关键词对此次访问进行阻断，同时向服务器返回403错误代码。...，每个匹配成功的规则都会增加”异常分数”，在对请求数据检测结束时，以及对返回数据检测结束时，都会对异常分数的总和进行判断，如果大于设置的阈值，才会进行阻断动作，并向客户端返回403代码，审计日志中也会记录此次访问中所有匹配成功的规则信息...独自控制模式：检测到一次威胁就直接阻断请求，因此在高并发情况下，效率相对较高，服务器资源占用较小，但误报率相对较高。

1.8K3 0

ModSecurity 开源WAF简介

ModSecurity计划是从2002年开始，后来由Breach Security Inc.收购，但Breach Security Inc.允诺ModSecurity仍旧为open source，并开放源代码给大家使用...它统计每个请求的有关IP地址、应该连接、和用户帐户的异常分数，当出现较高的异常分数时，会记录日志并完全的阻止访问。...OPERATOR是正则表达式(Regular Expression)，但其实ModSecurity提供不少可用的OPERATOR，利用”@”即可指定要用何种OPERATOR，例如SecRule REQUEST_URI...,severity:2“ 说明： REQBODY_PROCESSOR_ERROR：指定针对request body发生的进程发生的错误的代码 “!...但只在以下两种场合之一才行： A.如果Web应用不经常变化 B.响应攻击扫描报告，在这种情况下可以使用目标的积极安全规则如果将ModSecurity作为一个对已知问题的虚拟修补方案，那么它就不太适合于

4.8K2 0

Nginx - 集成ModSecurity实现WAF功能

作为一个嵌入式模块，ModSecurity可以集成到常见的Web服务器（如Apache、Nginx）中，以拦截和阻止恶意的HTTP请求。...开源： ModSecurity是开源的，这意味着任何人都可以查看其源代码、进行修改和定制以满足特定需求。...规则引擎： ModSecurity使用规则引擎来检测并阻止恶意Web请求。这些规则可以通过配置文件进行调整和自定义，以满足特定的安全需求。...阻止恶意请求：如果请求被识别为恶意，ModSecurity可以采取不同的操作，如阻止请求、记录事件、重定向等。...ModSecurity vs 商业WAF：商业WAF通常提供更多的功能和技术支持，但相对而言成本更高。ModSecurity作为开源解决方案，免费且灵活，但可能需要更多的技术支持和配置。

4820 0

WEB基础防护-Apache

目前常用的方法有：使用高防机房盾机服务、使用第三方web安全防火墙、使用CDN 对于高防的昂贵费用，一般的公司很难承担，但如果你遇到严重的DDOS，一个是报警，再一个是乖乖用高防服务。...虽然还是有不少方法可以查到加CDN之后的真实IP，但查找还是需要一些技术门槛的。...Execution (RCE)：阻止利用远程命令执行漏洞进行攻击 PHP Code Injectiod：阻止PHP代码注入 HTTP Protocol Violations：阻止违反HTTP协议的恶意访问...Detection：阻止黑客扫描网站 Metadata/Error Leakages：阻止源代码/错误信息泄露 Project Honey Pot Blacklist：蜜罐项目黑名单 GeoIP Country...来存放ModSecurity规则集，默认是有modsecurity.conf初始配置，我们需要在配置文件中，将规则引入 ?

1.5K2 0

如何在Ubuntu 14.04和Debian 8上使用Apache设置ModSecurity

要启用的基本指令将默认的ModSecurity配置文件设置为DetectionOnly，根据规则匹配记录请求，不阻止任何内容。...在下一步中，我们将阻止这一点。第4步 - 设置规则在此步骤中，我们将设置一些ModSecurity规则。启用CRS 为了简化操作，有许多规则已经与ModSecurity一起安装。...不包括目录/域名（可选）有时排除特定目录或域名（如果它正在运行应用程序，如phpMyAdmin）是有意义的，因为ModSecurity将阻止SQL查询。...（如果SecRuleEngine只剩下DetectionOnly选项，注入将成功但尝试将记录在modsec_audit.log文件中。）...sudo nano /var/www/html/form.php 粘贴以下代码： <?

1.8K0 0

centos7环境下ModSecurity-envoy编译和测试（一）-野路子技术宅

PHP Code Injectiod：阻止PHP代码注入HTTP Protocol Violations：阻止违反HTTP协议的恶意访问HTTPoxy：阻止利用远程代理感染漏洞进行攻击Sshllshock...curl www.狗狗.com终端返回html标签记录，说明已经网络dialing设置成功。...项目地址:https://github.com/vmware-archive/ModSecurity-envoy做好准备，下载代码。action ~ go！...1、建立工作目录cd ~mkdir ModeSecuritycd ModSecurity2、下载代码git clone git@github.com:octarinesec/ModSecurity-envoy.gitgit...clone git@github.com:SpiderLabs/ModSecurity.git #如果下载代码有问题，需要设置git 的ssh权限，有问题的可以留言!

1.8K5 1

Web应用程序防火墙（WAF）bypass技术讨论（一）

php 右侧窗格是最有趣的，因为它显示相同的请求，但使用“问号”作为通配符。结果令人恐惧……Sucuri WAF接受了请求，我的应用程序执行了我输入c参数的命令。...现在我可以读取/etc/passwd文件甚至更多… 我可以阅读应用程序本身的PHP源代码，我可以使用netcat（或者我喜欢称之为/???/?...我不知道为啥会发生这种情况，我以为我在Sucuri WAF配置上遗漏了一些东西，但似乎又没有……我已经在Sucuri问过这是否是一种有人参与的行为，以及他们是否配置了默认的“低等级”以避免误报，但目前我还在等待答案...ModSecurity中的等级1意味着规则更严格，虽然消除了误报，但它也过于宽松。...SecAction "id:999,\ 使用PL1和PL2 ModSecurity显然阻止了我对“OS File Access Attempt”的请求（930120）。

2.9K4 0

WAF绕过技巧浅谈

如今市面上的所有WAF几乎都已具备了对RCE攻击的拦截甚至阻断，但当它发生在Linux系统中时，我们已经有了极为巧妙的方法来绕过WAF规则集。作为渗透测试人员我们最大的朋友不是“狗”，而是“通配符”。...和/这类的字符进行阻止，那么你就可以将你的请求编码成这样：/?cmd=%2f???%2f??t%20%2f???%2fp??s?? ?...但为什么使用通配符（特别是问号）可以帮助我们躲避WAF规则集呢？让我从Sucuri WAF讲起！ Sucuri WAF绕过 ? 测试WAF规则集的最好办法是什么？...PL1（和PL2）ModSecurity阻止了我的请求提示“OS文件访问尝试”（930120）。但是如果我使用？作为通配符呢？结果成功绕过了WAF： ? 发生这种情况是因为“？”...但需要提醒大家的是，这并不意味着你就要将你的当前等级强制设为4，因为这里只是一个测试环境并不是真实的生产环境。 Level 4 (PL4) 对于该级别我没法绕过，至少对我而言是如此。

2K10 0

WAF对WebShell流量检测的性能分析

）核心规则集-CRS进行测试，纵然效果不如实际场景来的直观，但足以说明问题。...@posix_getpwuid(@posix_geteuid()):""; //posix_getegid()返回当前进程的有效用户组ID，posix_geteuid()返回当前进程的有效用户ID $s...=php_uname(); //php_uname返回运行 PHP 的系统的有关信息 $R....$e->getMessage();} ; asoutput(); die();//输出 HTTP/1.1 200 OK Date: Wed, 29 Jan 2020 12:53:30 GMT Server...我顺便贴一下代码。先来看看base64的代码 <?php $ant=base64_decode("YXNzZXJ0"); $ant($_POST['ant']); ?

1.7K2 0

如何做 Nginx 安全日志分析可视化，看这一篇就够了

之前介绍过 ModSecurity 这款优秀的开源 WAF，它是一个入侵检测与阻止的引擎，原本是Apache的一个模块，现在可作为单独模块编译添加到 Nginx 服务中虽然这款 WAF 很优秀，但是使用起来并没有那么容易...之前也整理了文章介绍它的原理和规则，然而还有一个问题，就是它的日志分析，之前介绍原理规则的时候，也介绍了它的日志规则，但是在使用过程中，纯文本的记录方式，对于入侵分析太不友好了所以今天介绍一款管理 ModSecurity...日志的开源项目 WAF-FLE WAF-FLE是专门用来处理ModSecurity日志和事件的控制台，管理员可以通过WAF-FLE查看和搜索ModSecurity记录的日志 WAF-FLE是PHP写的开源项目...setup.php的499行，它用apache_getenv检测是否用Apache运行的，如果没运行Apache，这里过不去，我这里是Nginx运行的，所以打开setup.php文件499行，把这部分代码注释掉即可...接着点击运行创建数据库这里创建数据库的时候又有个问题，在setup.php代码28行的地方，执行创建函数的时候，引用一个$databaseSchema，这里修改定义了一个位置，但是我放置的是我的位置

8792 0

Nginx常用变量和应用案例

在 Nginx 中，你可以使用 $upstream_http_Content_Type 变量来访问这个字段例如，你可能有一个上游服务器返回 JSON 数据，但你希望将其转换为 HTML。...例如，你可能有一个上游服务器设置了一个会话 cookie，但你希望修改这个 cookie 的值。...Nginx设置的cookie"session=abcd1234"例如，你可能有一个上游服务器返回了一个重定向响应，但你希望修改 Location 头部以更改重定向的目标。...`，那么 Nginx 将返回 HTTP 200 状态码，以及 'Healthy' 的响应正文。...2.访问限制你可能需要限制特定 IP 地址的访问，例如阻止恶意请求或者仅允许特定的 IP 地址访问某个资源。你可以使用 $remote_addr 和 deny 指令实现这个功能。

1.1K3 0

简单配置.htaccess就可以实现的几个功能

通过 htaccess 文件，可以帮我们实现：网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能，这里说一下平常简单配置...(gif|jpg|swf|flv|png)$ /feed/ [R=302,L] 防止目录浏览有时候目录浏览是有用的，但大部分情况会有安全问题。...有很多 CMS 可以让你设置自定义的错误页面，但最简单的方法是更改 htaccess： ErrorDocument 404 /404.html 设置目录的默认页面假如你需要为不同的目录设置不同的默认页面...php_value max_input_time 200 压缩文件你可以通过压缩文件来减少网络流量，页面装载时间： AddOutputFilterByType DEFLATE text/plain...} /+[^\.]+$ RewriteRule ^(.+[^/])$ %{REQUEST_URI}/ [R=301,L] 沈唁志|一个PHPer的成长之路！

1.2K4 0

Jumpserver-RCE复现及报警规则

auth.py的代码分析根据jumpserver官方给的应急解决方案中，定位到了要封禁的接口: ? 在api_urls.py文件中的url路由规则如下: ?...首先对接口进行功能分析，POST方法实现的是: post提交user、assest、system_user，该方法会设置生成一个token，并将该数组的对应关系缓存，然后返回token。...get方法实现的是，请求提交token，该方法用token去查user，如果存在就把token对应的user返回。...并返回 ? read_log_file ? 通过以上流程分析的很清楚了，我们只需向服务器发起websocket请求，并提交json格式的taskid:logpath即可获取到日志中的敏感信息。...大佬用协程写了个交互式shell(膜). modsecurity判定规则在这种场景下，基本上看到这个uri请求我们就可以断言这是一个报警，因此编写规则如下: SecRule REQUEST_URI “

9522 0

RewriteCond和13个mod_rewrite应用举例Apache伪静态

http://www.xample.com%{REQUEST_URI} [R=301,L] 这个规则抓取二级域名的%1变量，如果不是以www开始，那么就加www，以前的域名以及{REQUEST_URI...你可以加一下代码阻止这种行为。 RewriteCond %{HTTP_REFERER} !^ RewriteCond %{HTTP_REFERER} !^http://(www.)?...(gif|jpg|png) – [F,L] 这个规则将阻止域名黑名单上所有的图片链接请求。...}值是否等于我们的安全页代码，并且{HTTPS}不等于on。...(page1|page2|page3|page4|page5) https://www.example.com/%1[R=301,L] 以下是怎样将没有设置成安全服务的页面返回到80端口： RewriteCond

3.9K2 0

如何做 Nginx 安全日志分析可视化？

ModSecurity 这款优秀的开源 WAF，它是一个入侵检测与阻止的引擎，原本是Apache的一个模块，现在可作为单独模块编译添加到 Nginx 服务中虽然这款 WAF 很优秀，但是使用起来并没有那么容易...之前也整理了文章介绍它的原理和规则，然而还有一个问题，就是它的日志分析，之前介绍原理规则的时候，也介绍了它的日志规则，但是在使用过程中，纯文本的记录方式，对于入侵分析太不友好了所以今天介绍一款管理 ModSecurity...日志的开源项目 WAF-FLE WAF-FLE是专门用来处理ModSecurity日志和事件的控制台，管理员可以通过WAF-FLE查看和搜索ModSecurity记录的日志 WAF-FLE是PHP写的开源项目...setup.php的499行，它用apache_getenv检测是否用Apache运行的，如果没运行Apache，这里过不去，我这里是Nginx运行的，所以打开setup.php文件499行，把这部分代码注释掉即可...接着点击运行创建数据库这里创建数据库的时候又有个问题，在setup.php代码28行的地方，执行创建函数的时候，引用一个$databaseSchema，这里修改定义了一个位置，但是我放置的是我的位置

4590 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云