ModSecurity 是一款开源Web应用防火墙,支持Apache/Nginx/IIS,可作为服务器基础安全设施,还是不错的选择。

系统环境:window 2008 R2+IIS 7

0X01 ModSecurity安装 

ModSecurity 下载地址:http://www.modsecurity.org/download.html

选择相应系统版本下载安装文件

一路Next,保持默认配置完成安装

安装完成以后,在C:\Program Files\ModSecurity IIS 目录存在如下文件:

0x02 相关配置

在C:\Windows\System32\inetsrv\config\applicationHost.config找到

<section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup>

改为

 <section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>

在ModSecurrity安装目录ModSecurity IIS下找到modsecurity.conf,将

SecRuleEngine DetectionOnly改为

SecRuleEngine On

在网站目录中,在web.config文件中添加如下配置:

<?xmlversion="1.0" encoding="UTF-8"?>

<configuration>

    <system.webServer>

        <ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " />

    </system.webServer>

</configuration>

如已有web.config配置文件,可在system.webServer节点增加

<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />

0x03 效果测试

  分别访问正常页面与构造SQL注入语句页面,查看拦截效果:

在应用程序日志中,也可以看到拦截日志信息:

0X04 403错误及解决

访问正常页面,403错误解决方法:

1、打开事件管理器,查看window日志--应用程序,查看拦截日志:

  访问的页面被规则误拦,我们可以去删除这条规则来让页面恢复正常。在C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_41_sql_injection_attacks.conf中删除id为950001的规则。

2、继续访问页面,依然报错,继续查看日志 ,继续删除C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_21_protocol_anomalies.conf 中id为960017的规则,页面恢复正常。

 0X05 WAF规则测试

  对waf的防御能力做一些测试,才能对waf进行针对性改写,自定义防御规则,让waf更加强大。

PHP+Mysql:

?id=1e0union%a0select 1,current_user,3 可绕过union select 获取当前用户名,select  from 还是绕不过去,查看了一下规则,正则为 (?:\\Wselect.+\\W*?from),如果只有这个正则可以用mysql内联注释构造 /*!12345select*/ 1,2,3 from 绕过,但是还有其他一些过滤如(/*、/*!、*/),暂时没想法更多的姿势了,记录一下。

bypass:%27%20%9e0union%20/*!5000select*/%0D1,%0D2,%0D3%20from--

参考文章:

nginx配合modsecurity实现WAF功能 https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html

https://yq.aliyun.com/articles/54475

https://jesscoburn.com/archives/2013/05/14/installing-modsecurity-on-iis7-x/

IIS 7安装ModSecurity实现WAF功能的更多相关文章

  1. nginx配合modsecurity实现WAF功能

    一.准备工作 系统:centos 7.2 64位.nginx1.10.2, modsecurity2.9.1 owasp3.0 1.nginx:http://nginx.org/download/ng ...

  2. 【转】Nginx 学习笔记(十一)nginx下安装配置naxsi waf防火墙(附完整编译、配置)

    原文地址:http://f2ex.cn/nginx-installed-configuration-naxsi-waf/ Naxsi 是第三方 nginx 模块 ,它和 Modsecurity 都是开 ...

  3. win7下IIS的安装和配置 图文教程

    转自   http://www.jb51.net/article/29787.htm 最近工作需要IIS,自己的电脑又是Windows7系统,找了下安装的方法,已经安装成功.在博客里记录一下,给需要的 ...

  4. IIS的安装与设置(windows版本)

    IIS,全英文名称:Internet Information Services(互联网信息服务),是由微软公司提供的基于运行Microsoft Windows的互联网基本服务.IIS的功能很多,如编辑 ...

  5. win7下IIS的安装和配置

    win7下IIS的安装和配置 图文教程,需要的朋友可以参考下 http://www.jb51.net/article/29787.htm 最近工作需要IIS,自己的电脑又是Windows7系统,找了下 ...

  6. 03-Windows Server 2016 IIS的安装与配置

    1. 打开服务器管理器,点击[添加角色和功能选项].        2. 进入“添加角色和功能向导”页面,点击下一步. 3. 安装类型选择[基于角色或基于功能的安装],点击下一步. 4. 进入服务器选 ...

  7. 使用NGINX+Openresty和unixhot_waf开源防火墙实现WAF功能

    使用NGINX+Openresty实现WAF功能 一.了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 .英文:Web Application Firewall,简称: ...

  8. Win8下IIS的安装和站点的公布

    版权声明:本文为博主原创文章,不经博主同意注明链接就可以转载. https://blog.csdn.net/Senior_lee/article/details/32939411         之前 ...

  9. Asp.net Core IIS上安装部署及502.5错误解决

    总结: 安装Microsoft Visual C++ 2015 Redistributable(https://www.microsoft.com/en-us/download/details.asp ...

随机推荐

  1. linux中怎么查看ip地址

    命令 ifconfig 可以查看当前主机的ip地址: 如果要手动更改ip地址. 可以输入命令cd /etc/sysconfig/network 在这个目录下会有 类似于ifcfg-@@的文件. 可以用 ...

  2. thinkphp 伪静态 自定义后缀

    <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.we ...

  3. python 进行后端分页详细代码

    后端分页 两个接口 思路: 1. 先得到最大页和最小页数(1, 20) --> 传递给前端, 这样前端就可以知道有多少个页数 2. 通过传递页数得到当前页对应数据库的最大值和最小值 3. 通过s ...

  4. 【转】【Html】Vuejs2.0学习之二(Render函数,createElement,vm.$slots,函数化组件,模板编译,JSX)

    1.Render函数 所以直接来到Render,本来也想跳过,发现后面的路由貌似跟它还有点关联.先来看看Render 1.1 官网一开始就看的挺懵的,不知道讲的是啥,动手试了一下,一开头讲的是Rend ...

  5. 第三百五十四节,Python分布式爬虫打造搜索引擎Scrapy精讲—数据收集(Stats Collection)

    第三百五十四节,Python分布式爬虫打造搜索引擎Scrapy精讲—数据收集(Stats Collection) Scrapy提供了方便的收集数据的机制.数据以key/value方式存储,值大多是计数 ...

  6. UltraCompare 激活

    UltraCompare安装包.注册机下载地址: 链接:https://pan.baidu.com/s/1eSu8Pbk 密码:fkkh 1.安装UltraCompare 2. 3. 打开注册机,填入 ...

  7. 生成基于Maven的项目文档站点

    在Maven中,可以使用“mvn site”,为您的项目信息生成文档站点. mvn site 生成的网站是在项目的“target/site”文件夹中. mvn site 示例 请参见通过“mvn si ...

  8. e780. 设置JList中的已选项

    List selection events are fired when the following methods are used to change the set of selected it ...

  9. 114ic电子元器件网

    http://www.114ic.cn/datasheet-pdf/TPA0211DGN-163932.html

  10. ASP.NET 网站超时跳转到登录界面

    利用actionFilter过滤器实现,超时跳转到登录界面 /// <summary> /// 登录超时跳转至登录界面 /// </summary> public class ...