之前的文章中介绍了Nginx中添加模块ModSecurity,默认ModSecurity 只有一个配置文件modsecrurity.conf,ModSecurity就是通过该文件进行配置,包括安全规则引擎以及安全规则配置...,下面是该文件内容详解: SecRuleEngine DetectionOnly|On|Off #SecRuleEngine是接受来自ModSecurity-CRS目录下的所有规则的安全规则引擎。...因此,我们可以根据需求设置不同的规则。要设置不同的规则有以下几种。 #SecRuleEngine On:将在服务器上激活ModSecurity防火墙。它会检测并阻止该服务器上的任何恶意攻击。...,在哪个阶段起作用,起上面作用,阻止还是记录 默认的Modsecurity只有上面几个规则,对于web防护来说肯定是不够的,而OWASP维护了一套核心的规则集,包括200多个ModSecurity规则,...基本覆盖了所有攻击类型的规则,有大佬整理了所有crs规则集,详情请查看http://f2ex.cn/modsecurity-crs-3-list/ 下篇文章中详细介绍crs规则集 温馨提示 如果你喜欢本文
本文主要介绍OWASP核心规则集的两种配置模式。 OWASP规则的官方Github地址:https://github.com/coreruleset/coreruleset。...独自控制模式,此模式是V2版本规则集的默认模式,它的工作方式是,只要有一条规则匹配成功,便拦截此次访问,审计日志中也只会记录第一次检测到威胁的规则信息。...如何配置跳转到自定义提示页面,可参见http://modsecurity.cn/practice/post/8.html。...当然,实际参与此次访问判断的规则并非只有上述规则,本人只是将涉及到此次拦截的规则单独摘取出来,进行拦截流程的简要介绍。...,共有282条规则被执行。
虽然VPS使用了云WAF功能,但还是有点小担心,为了双重保险,决定使用modsecurity来定制规则,以下介绍如何为apache服务器配置ModSecurity防护罩(modsecurity目前也支持...On 第三步:使用modsecurity核心规则集 核心规则集的详细介绍参见: ModSecurity CRS 笔记、WAF防御checklist,及WAF架构的一些想法 http://danqingdani.blog.../base_rules/$f; done 你可以采用同样的办法启用其他规则集,注意不同的规则集可能需要启用特定的模块 修改apache模块配置,启用规则集 注意:modsecurity 2.7版本与2.6...modsecurity_crs_41_sql_injection_attacks.conf文件的规则981231拦截,命中了SQL注释语句。.../ WAF规则实例1:上传文件名白名单,只允许上传图片文件 vim /usr/share/modsecurity-crs/activated_rules/MY.conf 添加规则 SecRule FILES
02 常见的waf分类 3.1 云waf 百度安全宝、阿里云盾、长亭雷池等 3.2 硬件waf 绿盟的、深信服的 3.3 软件waf 安全狗、D盾、云锁等 3.4 代码级waf 自己写的waf规则,防止出现注入等...gtmc.png imunify360.png incapsula.png janusec.png jiasule.png kona.png kuipernet.png malcare.png modsecurity.png...Bluedon IST BulletProof Security Pro AITpro Security CacheWall Varnish...Inactiv MaxCDN MaxCDN Mission Control Shield Mission Control ModSecurity...DotNetNuke URLScan Microsoft UEWaf UCloud Varnish
第2步 - 配置ModSecurity 开箱即用,ModSecurity没有做任何事情,因为它需要规则才能工作。在此步骤中,我们将首先启用一些配置指令。...它仅用作测试SQL注入和ModSecurity规则的示例。它将在本教程结束之前删除。 首先,访问MySQL提示符。...第4步 - 设置规则 在此步骤中,我们将设置一些ModSecurity规则。 启用CRS 为了简化操作,有许多规则已经与ModSecurity一起安装。...这些称为CRS(核心规则集),位于/usr/share/modsecurity-crs目录中。...我们将把规则放在一个名为modsecurity_custom_rules.conf的单独的新文件中。
灵活的规则引擎 灵活的规则引擎是ModSecurity的核心,其实现了ModSecurity的规则语言,这是一个专用的程序语言设计的用于处理HTTP的传输数据。...经过认证的ModSecurity规则,放在ModSecurity中,包含了一整套规则,它实现了通用目的强化、协议正规化和对一些通用web应用安全问题的检测。...为了变得更有用些,ModSecurity必须启用规则配置。...这一核心规则有了大量的评论,从而使得这些能够被用来做ModSecurity的部署向导。...这种方式的主要限制在于ModSecurity无法自动化创建这些规则,所以必须手工创建。
简介 通常 WAF 的检测规则是通过编写规则判断请求是否是恶意的,还有的会通过学习用户的行为自动添加规则。...Application Gateway、Jiasule Firewall、KnownSec Firewall、KONA Site Defender (Akamai)、Malcare (Inactiv)、ModSecurity...TrafficShield (F5 Networks)、URLMaster SecurityCheck (iFinity/DotNetNuke)、URLScan (Microsoft)、USP Secure Entry、Varnish
优势: 完美兼容nginx,是nginx官方推荐的WAF 支持OWASP规则 3.0版本比老版本更新更快,更加稳定,并且得到了nginx、Inc和Trustwave等团队的积极支持 免费 ModSecurity...阻止源代码/错误信息泄露 Project Honey Pot Blacklist:蜜罐项目黑名单 GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断 劣势: 不支持检查响应体的规则...,如果配置中包含这些规则,则会被忽略,nginx的的sub_filter指令可以用来检查状语从句:重写响应数据,OWASP中相关规则是95X。...不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制 不支持在审计日志中包含请求和响应主体 二、安装部署 测试环境:...在modsecurity主配置文件中include CRS的配置和规则 vim /etc/nginx/modsec/main.conf Include the recommended configuration
ModSecurity 是一个强大的包过滤工具,将检查每一个进入web服务器的包。它将根据内部规则,比较每一个包,并且确定是否需要禁止这个包或继续发送给web服务器。...title=Reference_Manual ubuntu上安装Apache2+ModSecurity及自定义WAF规则 虽然VPS使用了云WAF功能,但还是有点小担心,为了双重保险,决定使用modsecurity...来定制规则,以下介绍如何为apache服务器配置ModSecurity防护罩(modsecurity目前也支持Nginx,IIS) 。...将我们想起用的规则集放置在以下目录下 cd /usr/share/modsecurity-crs/activated_rules/ 选择启用base规则集 for f in (ls .....第六步:自定义WAF规则 规则语法快速入门参考 ModSecurity SecRule cheatsheets WAF规则实例1:上传文件名白名单,只允许上传图片文件 vim /usr/share/modsecurity-crs
规则引擎: ModSecurity使用规则引擎来检测并阻止恶意Web请求。这些规则可以通过配置文件进行调整和自定义,以满足特定的安全需求。...规则匹配: ModSecurity使用预定义的规则集(或自定义规则)来匹配请求中的恶意模式。这些规则可以检测到常见的Web攻击模式。...自定义规则引擎:ModSecurity提供了灵活的规则引擎,管理员可以根据实际需求编写和配置自定义的安全规则,以适应不同的Web应用和安全策略。...ModSecurity是一款强大而灵活的Web应用防火墙,能够帮助管理员保护Web应用免受各种类型的攻击。通过合理的配置和规则定制,可以有效地提高Web应用的安全性,并降低遭受攻击的风险。...on; } } } 规则配置: 使用默认的OWASP核心规则集(CRS): git clone https://github.com/coreruleset/coreruleset
/github.com/SpiderLabs/owasp-modsecurity-crs.git OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity...的核心规则集(即CRS) 安装:nginx之前已经安装过,这里直接添加模块 modsecurity安装: Shell cd /usr/local/ wget https://www.modsecurity.org...modsecurity.conf SecRuleEngine On #修改引擎为开启 最后面插入规则:(这个是3.0的,如果有其他更新可以再owasp-modsecurity-crs/rules/...SecRuleEngine On #修改引擎为开启最后面插入规则:(这个是3.0的,如果有其他更新可以再owasp-modsecurity-crs/rules/查看模板)include owasp-modsecurity-crs...owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf nginx配置启用规则,在location启用规则
本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。...规则模块(重点) 重点来了,这块是WAF的核心,我将这块又细分为三个子模块。 (1) 规则配置模块 IP黑白名单配置、 URL黑白名单配置、以及挑选合适的规则套餐。...(2)规则解析模块 主要作用是解析具体的规则文件,规则最好采用统一的规则描述语言,便于提供给第三方定制规则,ModSecurity这方面做得非常优秀。...WAF相关 WAF防御能力评测及工具 ssdeep检测webshell ModSecurity相关文章(我就是ModSecurity的死忠粉) [科普文]ubuntu上安装Apache2+ModSecurity...及自定义WAF规则 ModSecurity SecRule cheatsheets ModSecurity CRS 笔记、WAF防御checklist,及WAF架构的一些想法 ModSecurity 晋级
安装好了以后就可以查看你的modsecurity的版本号是多少,使用 dpkg -s libapache2-modsecurity | grep Version 第三步 配置modsecurity service...apache2 reload 该命令生效后,会在/var/log/apache2/目录下生成modsecurity的日志文件modsec_audit.log 使用modsecurity核心规则集 将我们想起用的规则集放置在以下目录下...cd /usr/share/modsecurity-crs/activated_rules/ 选择启用base规则集 for f in $(ls ...../base_rules/$f; done 修改apache模块配置,启用规则集 注意:modsecurity 2.7版本与2.6版本的配置文件有些区别 (1)2.7版本 vim /etc/apache2.../modsecurity
-------------------https://github.com/vmware-archive/ModSecurity-envoy一、下载规则集cd ${ModSecurity-envoy}/...Off:关闭规则匹配,默认关闭 DetectionOnly:开启规则匹配,但不执行任何拦截操作(阻止,拒绝,放弃,允许,代理和重定向)四、启动webhook服务1、安装nodejs...(this file)rules/*.conf (the CRS rule files)3、ModSecurity OWASP核心规则集的两种配置模式 - 异常评分模式、独自控制模式异常评分模式 Anomaly...vi owasp-modsecurity-crs-3.1.1/crs-setup.conf 经检查,是lds.xml 规则覆盖导致。...异常评分模式:由于每次请求都会匹配所有规则,因此在高并发情况下,效率相对较低,服务器资源占用较高,但误报率相对较低; 当检测到威胁时,并不会直接阻断此次请求,而是向下继续进行规则匹配
/releases/download/v2.9.5/modsecurity-2.9.5.tar.gz tar -zxvf modsecurity-2.9.5.tar.gz cd modsecurity-...配置规则文件 cd /usr/local git clone https://github.com/coreruleset/coreruleset.git #如果本地网站无法连接git官网,可尝试下方的另外两个下载地址.../conf/modsecurity/unicode.mapping #复制OWASP相关规则文件 cp /usr/local/coreruleset/crs-setup.conf.example /www.../conf/modsecurity/ #启用白名单及规则禁用文件 mv /www/server/apache/conf/modsecurity/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example...(其实用我们的配置规则文件就以及足够了。笔者在安装时,发现手机端打开时显示空白页,需手动刷新才能出现页面。可能时CND问题!)
)核心规则集-CRS进行测试,纵然效果不如实际场景来的直观,但足以说明问题。...crs.git mv owasp-modsecurity-crs modsecurity.d cd modsecurity-crs cp crs-setup.conf.example crs-setup.conf.../crs-setup.conf Include modsecurity.d/owasp-modsecurity-crs/rules/*.conf systemctl restart httpd modsecurity...grep line|wc -l计算 Apache-Error Message 匹配规则数 level 11 11 22 3 接下来我们先测对称密码。...统计数据如下 Apache-Error Message 匹配规则数 level 7 7 14 3 通过Antsword界面配置rot13加密及解密,抓包看了下流量,仅仅是将base64的加密函数变成了
来存放ModSecurity规则集,默认是有modsecurity.conf初始配置,我们需要在配置文件中,将规则引入 ?...因为默认的规则,太过基础,所以我们需要自己去定义一些规则,这里推荐用OWASP的核心规则集 OWASP规则集:https://github.com/SpiderLabs/owasp-modsecurity-crs.git...模块就可以,在rules下,我们可以看懂它带的一些规则集 ?...包括JAVA、PHP、IIS、SQL、XSS等防护规则,基础的防护都有了。...这里附上ModSecurity中文手册:http://www.modsecurity.cn/ 其他可以做的防护方法及注意的地方: 禁止对一些敏感文件的访问,比如.htaccess、config配置文件、
工作机制 1、通过使用自定义规则的ModSecurity(WAF)预编译并准备使用YARA规则; 2、工具将使用该自定义规则对可能包含恶意代码的文件进行检查和检测; 3、一般来说,如果通过Web功能(...例如上传文件)上传了可疑文件,那么ModSecurity将会拒绝接收该文件并返回403错误代码; 工具架构 主路径 Yara编译规则: /YaraRules/Compiled Yara默认规则: /...当Yara规则下载并编译完毕之后,我们还需要自定义需要部署的规则类型。...20220812-184146-YvbXKilOKdNkDfySME10ywAAAAA-file-Wx1hQA - URI: /upload.php"] (向右滑动,查看更多) 测试WAFARAY 终止/运行ModSecurity.../ https://portswigger.net/daily-swig/waf-reloaded-modsecurity-3-1-showcased-at-black-hat-asia https:/
特点是兼容ModSecurity规则,并且已经向人工智能方向进化:使用机器学习自主生成对抗规则,来防御包括:漏洞扫描、CC 、DDOS、SQL注入、XSS等。...项目地址:https://github.com/qq4108863/ 官网:http://www.hihttps.com 3、ModSecurity ModSecurity是开源WAF的鼻祖,是一个开源的跨平台...安全社区OWASP开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),这套规则很牛,但某些环境误报率惊人,所谓”成也萧何,败也萧何”。...项目地址:https://github.com/SpiderLabs/ModSecurity 4、 Naxsi Naxsi 是一款基于Nginx模块的防火墙,有自己规则定义。...项目地址:https://github.com/nbs-system/naxsi 5、OpenWAF OpenWAF是基于Nginx,优点是由行为分析引擎和规则引擎两大功能引擎构成,其中规则引擎主要对单个请求进行分析
上面成功绕过了waf,现在来测试一下ModSecurity OWASP CRS 3.0。...相关等级配置如下: # -=[ Targets and ASCII Ranges ]=- 以下是WAF的规则解释: https://github.com/SpiderLabs/owasp-modsecurity-crs...ModSecurity中的等级1意味着规则更严格,虽然消除了误报,但它也过于宽松。...SecAction "id:999,\ 使用PL1和PL2 ModSecurity显然阻止了我对“OS File Access Attempt”的请求(930120)。...很难说配置最好的WAF或者只使用最好的等级规则有没有用?但是我们能了解到的是不应该完全信任部署在Web应用程序上均匀分布的WAF规则集。事实上,我们应该根据应用程序功能配置我们的WAF规则。
领取专属 10元无门槛券
手把手带您无忧上云