crs-setup.cnf #SecDefaultAction指令后的规则都继承这一设置,除非为某条规则指定了一个特定的动作,或者指定了新的SecDefaultAction.特别注意到,未经处理的disruptive动作是不允许的,但是在SecDefautlAction中一不小心就会继承了使用disruptive动作.#SecDefaultAction必须指定一个disruptive动作和处理阶段,而且不能包含元数据动作SecDefaultAction "phase:1,log,auditlog…

通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]   阶段phase (1)request headers (2)request body (3)response headers (4)response body (5) logging   一.变量variable 绿色:请求变量  蓝色:server变量  紫色:响应变量 红色:请求体解析变量 黑色:时间变量 橙色:实体变量 ModSecurity Requ…

环境:modSecurity3.0,nignx1.13.8 modSecurity配置文件 1.nginx.conf server { listen ; modsecurity on; //启动modsecurity插件 location / { modsecurity_rules_file /usr/local/nginx/conf/modsecurity.conf; //modsecurity配置 root html; index index.html index.htm; } } 2.mo…

modSecurity日志收集:在phase 5阶段处理. 由于CC攻击主要考虑对动态请求的防护,所以要排除静态资源的请求,或者自定义动态请求的后缀或者关键字做接口针对性的防护. 定义需要排除的请求url后缀名称 SecAction \ "id:900260,\ phase:1,\ nolog,\ pass,\ t:none,\ setvar:'tx.static_extensions=/.mvc/ /.jpg/ /.jpeg/ /.png/ /.gif/ /.js/ /.css/ /.ico/…

传统检测模式-自主规则 传统检测模式所有规则都是“闭环”的模式.就像HTTP本身一样,单独的规则是无状态的.这意味着规则之间不共享信息,每个规则都没有关于任何先前规则匹配的信息.它仅使用其当前的单个规则逻辑进行检测.在此模式下,如果规则触发,它将执行当前规则中指定的任 何中断/记录日志操作.设置方法:修改Crs-setup.conf # Example: Self-contained mode, return error 403 on blocking # - In this configura…

规则语言是使用9个指令实现: 语法:SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS] Variables 以下几种: Regular variablesContain only one piece of information, or one string. For example, REMOTE_ADDR, alwayscontains the IP address of the client.CollectionsG…

1.数字型SQL注入 /opt/waf/owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "17"] [id "942100"] 被LibInjection Check 2.字符型SQL注入 同上 3.数据库后门 match1:LibInjection Check match2: 94235 SecRule REQUEST_COOKIES|!REQUES…

1.IP访问频率 SecAction phase:1,nolog,pass,setvar:IP.counter=+1 SecRule IP:UPDATE_RATE "@gt 10" \ "phase:1,block,msg:'Request rate too high for IP address: %{IP.UPDATE_RATE}'" 优化下,去掉静态资源的 # Only increment the counter if the # request is for…

事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作.不,从零开始.我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族.也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么. Understanding ModSecurity 像Apache为其他模块所做的一样,Apache为modsecurity处…

0x00 背景知识 一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式. 虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大. 笔者再次强调,如果你只是想学习WAF的绕过,我建议还是不要跟我的帖子了,我的目的还是主要帮助好多人去搭起整个框架,从而在谈绕过. 0x01 从Modsecurity模块…

一.Modsecurity规则语法示例 SecRule是ModSecurity主要的指令,用于创建安全规则.其基本语法如下: SecRule VARIABLES OPERATOR [ACTIONS] VARIABLES 代表HTTP包中的标识项,规定了安全规则针对的对象.常见的变量包括:ARGS(所有请求参数).FILES(所有文件名称)等. OPERATOR 代表操作符,一般用来定义安全规则的匹配条件.常见的操作符包括:@rx(正则表达式).@streq(字符串相同).@ipmatch(IP相…

原文转发以防丢失. 地址: http://www.catssec.com:8090/exploit/?p=691 转来细读之后,并没有太多的参考价值  :( modsecurity规则手册 通用格式 SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]   阶段phase (1)request headers (2)request body (3)response headers (4)response body (5) l…

参考文档: https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#installation-for-nginx nginx不支持动态加载模块,所以需要重新编译,将modsecurity和nginx整合. 一: 软件准备: ModSecurity-2.9.1.zip nginx-1.10.1.tar.gz 根据文档所述,有一些依赖包需要安装. yum install httpd httpd-devel pcre pcre-d…

一.ModSecurity3.0介绍 ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发.作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录. 优势: 完美兼容nginx,是nginx官方推荐的WAF 支持OWASP规则 3.0版本比老版本更新更快,更加稳定,并且得到了nginx.…

一.ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则. VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象.常见的变量包括:ARGS(所有请求参数).FILES(所有文件名称)等. OPERATOR:代表操作符,一般用来定义安全规则的匹配条件.常见的操作符包括:@rx(正则表达式).@streq(字符串相同).@ipmatch(IP相同)等. AC…

Drools 规则学习 在 Drools 当中,一个标准的规则文件就是一个以“.drl”结尾的文本文件,由于它是一个标准的文本文件,所以可以通过一些记事本工具对其进行打开.查看和编辑.规则是放在规则文件当中的,一个规则文件可以存放多个规则,除此之外,在规则文件当中还可以存放用户自定义的函数.数据对象及自定义查询等相关在规则当中可能会用到的一些对象.文件结构图如下: package imports globals functions queries rules ..... 对于一个规则文件而言,首…

1.下载OWASP的ModSecurity规则 cd /etc/httpd git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.gitmv owasp-modsecurity-crs modsecurity-crscd modsecurity-crsmv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf 2.在Apache中启用规则 vi…

catalog . 引言 . OWASP ModSecurity Core Rule Set (CRS) Project . Installation mod_security for Apache . Installation mod_security for nginx . Installation mod_security for IIS . mod_security Configuration Directives . Processing Phases . Variables . Tr…

一.准备工作 系统:centos 7.2 64位.nginx1.10.2, modsecurity2.9.1 owasp3.0 1.nginx:http://nginx.org/download/nginx-1.10.2.tar.gz 2.modsecurity for Nginx: https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz 3.OWASP规则集:https://github.com/SpiderLabs…

ModSecurity是 一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未 知的攻击.本文主要介绍了针对开源WAF的一次渗透测试比赛中的思路. 1. 文章背景 ModSecurity SQL Injection Challenge(ModSecurity发起的一个针对开源WAF的一次渗透测试…

转自:http://danqingdani.blog.163.com/blog/static/186094195201472304841643/ ModSecurity的规则因为奇怪的正则(可读性差?正则都很天书地说!)及被绕过案例(哪个WAF没有被绕过的经历呢?),还有性能啥的,被不少的安全人员围攻,但从架构层面来说,是款非常优秀的WAF,对构造我们自己的WAF非常具有借鉴性.     一.ModSecurity CRS笔记 对安全人员而言,WAF貌似最有价值的是规则,我们来看看ModSecu…

XPath编写规则学习   辅助工具:firefox安装findbugs,view Xpath firefox :Xpath验证方式:$x("xpath"); 粘贴xpath语句回车即可   定位: 1.依靠自己属性,文本定位:    //td[text()='test']    //div[contains(@class,'test')]    //input[@type='radio' and @value='1']    //span[@name='bruce' and text…

一.编译安装Nginx 1.安装依赖环境 $ yum -y install gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel libtool git autoconf automake libxml2-devel zlib-devel libgo-devel openssl-devel 2.安装Nginx $ wget http://nginx.org/download/nginx-…

ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击.本文主要介绍了针对开源WAF的一次渗透测试比赛中的思路. 1. 文章背景 ModSecurity SQL Injection Challenge(ModSecurity发起的一个针对开源WAF的一次渗透测试比赛…

XPath编写规则学习   辅助工具:firefox安装findbugs,view Xpath firefox :Xpath验证方式:$x("xpath"); 粘贴xpath语句回车即可   定位: 1.依靠自己属性,文本定位:    //td[text()='test']    //div[contains(@class,'test')]    //input[@type='radio' and @value='1']    //span[@name='bruce' and text…

利用ModSecurity防御暴力破解 from:http://www.freebuf.com/articles/web/8749.html 2013-04-18 共553248人围观 ,发现 12 个不明物体 WEB安全 在阅读本文前,先简单了解下什么是ModSecurity,ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙,相信不少商业WAF的签名开发同学也参考了ModSecurity的规则吧. 背景: 上周Wordpress网站…

http://www.modsecurity.org/ ModSecurity防御暴力破解 在阅读本文前,先简单了解下什么是ModSecurity,ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙,相信不少商业WAF的签名开发同学也参考了ModSecurity的规则吧. 背景: 上周Wordpress网站遭受了大规模的暴力破解攻击,攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试…

0 前言 ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发.作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录. 优势 完美兼容nginx,是nginx官方推荐的WAF 支持OWASP规则 .0版本比老版本更新更快,更加稳定,并且得到了nginx.Inc和Trustwave等团队…

本篇将介绍如何使用OpenResty和ModSecurity 来构建自己的WAF,安装过程整体与Nginx是类似的,但也有些区别,在文中会特别指出,本篇算是用openresty对前面两篇nginx和crs的集中介绍. Preface 版本信息 CentOS Linux release 7.6.1810 (Core) nginx version: openresty/1.13.6.1 ModSecurity 3.0 安装依赖 # yum install epel-release -y # 安装mo…

Preface 前述文章开源WAF工具ModSecurity,介绍了ModSecurity作为Nginx的动态加载模块的基本安装和使用. 本篇简单介绍ModSecurity CRS规则集的使用. # nginx -v # nginx版本 nginx version: nginx/ # which nginx # nginx可执行文件路径 /usr/sbin/nginx # find / -name nginx.conf # nginx配置文件路径 /etc/nginx/nginx.conf# l…