本篇将介绍如何使用OpenResty和ModSecurity 来构建自己的WAF,安装过程整体与Nginx是类似的,但也有些区别,在文中会特别指出,本篇算是用openresty对前面两篇nginx和crs的集中介绍。

Preface

版本信息

  • CentOS Linux release 7.6.1810 (Core)
  • nginx version: openresty/1.13.6.1
  • ModSecurity 3.0

安装依赖

# yum install epel-release -y

# 安装modsecurity依赖

# yum install gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre pcre-devel libxml2 libxml2-devel autoconf automake lmdb-devel ssdeep-devel ssdeep-libs lua-devel libmaxminddb-devel git apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev ibpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev -y

# 安装nginx/openresty依赖
# yum install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel -y

下载

# mkdir /opt/waf          #创建一个专属目录

# cd /opt/waf

# git clone --depth  -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity      # 下载ModSecurity

# wget https://openresty.org/download/openresty-1.13.6.1.tar.gz                        # 下载openresty

# git clone --depth  https://github.com/SpiderLabs/ModSecurity-nginx.git                  # 下载ModSecurity-nginx连接器
# pwd

/opt/waf

# ls

ModSecurity  ModSecurity-nginx  openresty-1.13.6.1.tar.gz

编译ModSecurity

# cd /opt/waf/

# cd ModSecurity/        # 切换到ModSecurity目录

# git submodule init      # 初始化

# git submodule update    # 更新

# ./build.sh

# ./configure

# make

# make install

【注】在执行build.sh会出现如下错误,可忽略。

fatal: No names found, cannot describe anything

编译modsecurity_module

# cd /opt/waf/

# tar xvf openresty-1.13.6.1.tar.gz

# ls

ModSecurity  ModSecurity-nginx  openresty-1.13.6.1  openresty-1.13.6.1.tar.gz
# cd openresty-1.13.6.1/

# ./configure --with-compat --add-dynamic-module=/opt/waf/ModSecurity-nginx    # 需用绝对路径,相对路径会出问题

# gmake            # 不能使用make modules命令

# gmake install       
... 上一步的输出

cp objs/ngx_http_modsecurity_module.so '/usr/local/openresty/nginx/modules/ngx_http_modsecurity_module.so'

gmake[]: Leaving directory `/opt/waf/openresty-1.13.6.1/build/nginx-1.13.'

gmake[]: Leaving directory `/opt/waf/openresty-1.13.6.1/build/nginx-1.13.'

mkdir -p /usr/local/openresty/site/lualib /usr/local/openresty/site/pod /usr/local/openresty/site/manifest

ln -sf /usr/local/openresty/nginx/sbin/nginx /usr/local/openresty/bin/openresty

  openresty默认安装到/usr/local/openresty,最终的是ngx_http_modsecurity_module.so库文件ok。

配置

基本测试

  为了便于后续操作,创建一个openresty的符号链接。

# ln -s /usr/local/openresty/bin/openresty /usr/bin/openresty

# openresty -v

nginx version: openresty/1.13.6.1
# cd /usr/local/openresty/nginx/conf

# head - nginx.conf

load_module /usr/local/openresty/nginx/modules/ngx_http_modsecurity_module.so;    # 首行加入
# openresty             # 启动

# openresty -s reload       # 重载配置(如果已启动则重载配置即可)

# openresty -t           # 测试ok

nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is successful

启用WAF

# cd /usr/local/openresty/nginx

# ls

client_body_temp  conf  fastcgi_temp  html  logs  modules  proxy_temp  sbin  scgi_temp  uwsgi_temp

# mkdir modsec      # 创建一个专属modsecurity的规则文件夹

# cd modsec/

# sudo wget https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended

# mv modsecurity.conf-recommended modsecurity.conf

  修改modsecurity.conf配置文件

# vim  modsecurity.conf

# -- Rule engine initialization ----------------------------------------------
...

SecRuleEngine On    <== 设置为On

  拷贝mapping文件。

# cp /opt/waf/ModSecurity/unicode.mapping .

# ls

main.conf  modsecurity.conf  unicode.mapping

  创建一个主规则文件main.conf,内容如下。

# cat /etc/nginx/modsec/main.conf

# Include the recommended configuration

Include /usr/local/openresty/nginx/modsec/modsecurity.conf    

# A test rule

SecRule ARGS:testparam "@contains test" "id:1234,deny,log,status:403"

  修改nginx配置文件,简要图示如下:

...

server {

        listen       ;

        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        modsecurity on;      

        modsecurity_rules_file /usr/local/openresty/nginx/modsec/main.conf;

        location / {

            default_type text/plain;

            return  "Thank you for requesting ${request_uri}\n";

        }

...
  • modsecurity on:启用Nginx WAF;
  • modsecurity_rules_file:指定规则文件路径。

测试WAF

# curl localhost

Thank you for requesting /

[root@localhost conf]# curl localhost/foo?testparam=thisisatestofmodsecurity    # 携带恶意参数test

<html>

<head><title> Forbidden</title></head>

<body bgcolor="white">

<center><h1> Forbidden</h1></center>        <<= 禁止访问

<hr><center>openresty/1.13.6.1</center>

</body>

</html>

  可以看到参数testparam中带有test关键字会被拦截。

CRS

  OpenResrty 配置文件nginx.conf请参考:https://www.cnblogs.com/Hi-blog/p/ModSecurity.html#autoid-3-4-0

  CRS请参考:OWASP ModSecurity Core Rule Set (CRS)的基本使用

OpenResty + ModSecurity + OWASP CRS的更多相关文章

  1. 网站waf检测

    WAFW00F WAFW00F识别和指纹Web应用防火墙(WAF)产品. 其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来 ...

  2. kali linux之防火墙识别

    通过检查回包,可能识别端口是否经过防火墙过滤,设备多种多样,结果存在一定的误差 Send Response   Type SYN   NO    Filtered(先发送syn 如果不给回复 防火墙可 ...

  3. 针对Web的信息搜集

    信息收集(Information Gathering),信息收集是指通过各种方式获取所需要的信息,在整个渗透测试环节中,信息搜集是整个渗透过程中最为重要的一环,信息搜集可占据整个渗透测试80%左右的工 ...

  4. OWASP ModSecurity Core Rule Set (CRS)的基本使用

    Preface 前述文章开源WAF工具ModSecurity,介绍了ModSecurity作为Nginx的动态加载模块的基本安装和使用. 本篇简单介绍ModSecurity CRS规则集的使用. # ...

  5. ModSecurity:一款优秀的开源WAF

    一.ModSecurity3.0介绍 ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发. ...

  6. Azure WAF防火墙工作原理分析和配置向导

    Azure WAF工作原理分析和配置向导 本文博客地址为:http://www.cnblogs.com/taosha/p/6716434.html ,转载请保留出处,多谢! 本地数据中心往云端迁移的的 ...

  7. [security] security engine things

    1. luarock luarock 之于 lua,就好比 pip 之于 python https://luarocks.org/ 2.  lua的库 [root@base package]# ls ...

  8. modsecurity3.0 nginx 安装

    备注: 使用的是modsecurity 3.0 的版本,也是nginx 官方推荐使用的,同时使用的是nginx 的dynamic module 1. 环境准备 https://github.com/S ...

  9. Azure上通过haproxy实现APP Gateway或WAF的http跳转https

    Azure上的APP Gateway是七层负载均衡服务,WAF是APP Gateway服务的扩展.在实现七层负载均衡的同时,增加了WAF的功能,可以对后台的HTTP服务进行保护. Azure WAF采 ...

随机推荐

  1. python_迭代器和生成器、字节串、字节数组

    迭代器 iterator  和 生成器 generator 什么是迭代器:迭代器就是获取迭代对象中元素的工具,迭代器是由可迭代对象生成的 1.迭代器是指用iter(可迭代对象)函数返回的对象(实例) ...

  2. mac安装jupyter

    SaintKings-Mac-mini:.pip saintking$ pip install jupyter --user Collecting jupyter Downloading jupyte ...

  3. linux中安装tensorflow

    liunxsudo apt-get install python-pip python-dev python2.X -> pippython3.X -> pip3 pip --versio ...

  4. 图解leetcode —— 124. 二叉树中的最大路径和

    前言: 每道题附带动态示意图,提供java.python两种语言答案,力求提供leetcode最优解. 描述: 给定一个非空二叉树,返回其最大路径和. 本题中,路径被定义为一条从树中任意节点出发,达到 ...

  5. png兼容IE6的方法

    1.通过CSS滤镜使背景图的PNG对IE6进行兼容 定义一个样式,给某个div应用这个样式后,div的透明png背景图片自动透明了. <style> body{background: li ...

  6. Dubbo学习系列之七(分布式订单ID方案)

    既然选择,就注定风雨兼程! 开始吧! 准备:Idea201902/JDK11/ZK3.5.5/Gradle5.4.1/RabbitMQ3.7.13/Mysql8.0.11/Lombok0.26/Erl ...

  7. windows下安装ssdb

    官方下载 http://ssdb.io/docs/install.html 这是官方网站 官方建议 Do not run SSDB server on Windows system for a pro ...

  8. 【CSS】346- 你所不知道的 CSS 阴影技巧与细节

    偷懒了1个多礼拜,在工作饱和的情况下,怎么坚持学习?今天的分享来自@Coco国服第一切图仔,我们聊聊CSS属性box-shadow- 关于 CSS 阴影,之前已经有写过一篇,box-shadow 与 ...

  9. 每周一练 之 数据结构与算法(Dictionary 和 HashTable)

    这是第五周的练习题,上周忘记发啦,这周是复习 Dictionary 和 HashTable. 下面是之前分享的链接: 1.每周一练 之 数据结构与算法(Stack) 2.每周一练 之 数据结构与算法( ...

  10. CSS3(2)--- 过渡(transition)

    CSS3(2)--- 过渡(transition) 一.概念 1.什么是过渡 通俗理解 是从一个状态 渐渐的过渡到 另外一个状态. 比如一个盒子原先宽度为100px,当鼠标点击时盒子的宽度变成200p ...