配置OWASP的ModSecurity规则

1、下载OWASP的ModSecurity规则

cd /etc/httpd
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.gitmv owasp-modsecurity-crs modsecurity-crscd modsecurity-crsmv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

2、在Apache中启用规则

vi /etc/httpd/conf/httpd.conf

末尾添加

<IfModule security2_module>
Include modsecurity-crs/modsecurity_crs_10_setup.conf
Include modsecurity-crs/base_rules/*.confInclude modsecurity-crs/activated_rules/*.conf
</IfModule>

3、创建白名单

vi /etc/httpd/modsecuirty.d/whitelist.conf

#Whitelist file to control ModSec

<IfModule mod_security2.c>
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On

SecDataDir /tmp

</IfModule>

4、自定义规则

vi /etc/httpd/modsecurity-crs/activated_rules/custom.conf

此处可以自己写一些规则或者移除一些规则。

IP白名单

SecRule REMOTE_ADDR "^192\.168\.1\.11" phase:1,log,allow,ctl:ruleEngine=off,id:100001

规则白名单

<LocationMatch .*>
        SecRuleRemoveById 960020
</LocationMatch>

目录规则白名单

<LocationMatch “/home/www/test/”>
        SecRuleRemoveById 300015 300016 300017
</LocationMatch>

或者

<Directory /path/to/dir>
	SecRuleEngine Off
</Directory>

5、常见问题

本地测试时，如果启用全策略，访问web目录时。

Forbidden

You don‘t have permission to access /bWAPP/ on this server.

查看modsec日志

Message: Access denied with code 403 (phase 2). Pattern match "^[\\d.:]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity-crs/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "98"] [id "960017"] [rev "2"] [msg "Host header is a numeric IP address"] [data "192.168.14.21"] [severity "WARNING"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"]
Action: Intercepted (phase 2)
Apache-Handler: php5-script
Stopwatch: 1478141159604281 1340 (- - -)
Stopwatch2: 1478141159604281 1340; combined=316, p1=207, p2=82, p3=0, p4=0, p5=27, sr=23, sw=0, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.9.
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_auth_gssapi/1.3.1
Engine-Mode: "ENABLED"

960017对应的规则

# Check that the host header is not an IP address
# This is not an HTTP RFC violation but it is indicative of automated client access.
# Many web-based worms propagate by scanning IP address blocks.
#
# -=[ Rule Logic ]=-
# This rule triggers if the Host header contains all digits (and possible port)
#
# -=[ References ]=-
# http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx
#

SecRule REQUEST_HEADERS:Host "^[\d.:]+$" "phase:2,rev:‘2‘,ver:‘OWASP_CRS/2.2.9‘,maturity:‘9‘,accuracy:‘9‘,t:none,block,msg:‘Host header is a numeric IP address‘,logdata:‘%{matched_var}‘,severity:‘4‘,id:‘960017‘,tag:‘OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST‘,tag:‘WASCTC/WASC-21‘,tag:‘OWASP_TOP_10/A7‘,tag:‘PCI/6.5.10‘,tag:‘http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx‘,setvar:‘tx.msg=%{rule.msg}‘,setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/POLICY/IP_HOST-%{matched_var_name}=%{matched_var}"

在/etc/httpd/modsecurity-crs/activated_rules/custom.conf加入规则

<LocationMatch .*>　　　　SecRuleRemoveById 960017
</LocationMatch>

去掉对HTTP Header Host字段内容是否为IP地址的检测。默认如果是IP地址就会阻断访问。

时间： 2024-10-12 14:30:05

配置OWASP的ModSecurity规则的相关文章

ADFS 2.0 配置简介 PartⅢ – 声明规则语言

上一篇我们最终把 ADFS 与应用之间的信任关系建立起来了,但是应用接收到的声明信息只有默认的两个,这次我们就来学学怎么配置声明. 一.声明存储配置 ADFS 目前默认支持三种方式的声明值存储,另外还有自定义存储,不过我没去研究二.编辑预定义声明三.编写自己的定制声明如果你需要编写自定义的声明规则,那么你需要掌握一种描述声明的语法,很简单的,首先让我们看看上边配置的电子邮件声明生成的语句 c:[Type == "http://schemas.microsoft.com/ws/2008/06

nginx配置location及rewrite规则重写

一个示例: location = / { # 精确匹配 / ,主机名后面不能带任何字符串 [ configuration A ] } location / { # 因为所有的地址都以 / 开头,所以这条规则将匹配到所有请求 # 但是正则和最长字符串会优先匹配 [ configuration B ] } location /documents/ { # 匹配任何以 /documents/ 开头的地址,匹配符合以后,还要继续往下搜索 # 只有后面的正则表达式没有匹配到时,这一条才会采用这一条 [ c

iptables配置顺序-两条规则会忽略后边的

oracle在centos本机能够正常访问,关闭防火墙也能够远程访问,但是一旦开启防火墙则不能远程访问尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,但是仍然不能远程访问尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,保存返

servlet配置url-pattern的匹配规则

<servlet> <servlet-name>hello</servlet-name> <servlet-class>com.qf.servlet.HelloServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>hello</servlet-name> <url-pattern>/hello</url

Spring Cloud Alibaba基础教程：Nacos配置的加载规则详解

前情回顾: <Spring Cloud Alibaba基础教程:使用Nacos实现服务注册与发现> <Spring Cloud Alibaba基础教程:支持的几种服务消费方式(RestTemplate.WebClient.Feign)> <Spring Cloud Alibaba基础教程:使用Nacos作为配置中心> 上一篇,我们学习了如何在Nacos中创建配置,以及如何使用Spring Cloud Alibaba的Nacos客户端模块来加载配置.在入门例子中,我们只配

3. nginx配置的基本语法规则

安装好后的nginx二进制文件中已经指定包含了编译时指定的模块, 每个模块都有自己的配置. 这些配置会遵循相同的nginx配置规则. nginx配置规则: 1) 配置文件由指令和指令块构成, nginx.conf文件中, include就是指令, http就是指令块; 2) 每条指令以;分号结尾, 指令与参数之间以空格符号分隔; 3) 指令块以{}大括号将多条指令组织在一起, 有些指令块有名字, 有些指令块没有名字, 有没有名字由提供该指令块的nginx模块来决定; 4) include语

Nginx配置location与rewrite规则教程

location教程示例: location = / { # 精确匹配 /,主机名后面不能带任何字符串 [ configuration A ] } location / { # 因为所有的地址都以/开头,所有这条规则将匹配到所有请求 # 但是正则和最长字符串会优先匹配 [ configuration B ] } location /documents/ { # 匹配任何以/documents/开头的地址,匹配符合以后,还要继续往下搜索 # 只有后面的正则表达式没有匹配到时,这一条才会采用 [

Windows安全配置的几条规则

一.物理安全服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录.另外,机箱.键盘.抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方. 二.停止Guest帐号在［计算机管理］中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统.为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问. 三.限制用户数量去掉所有的测试帐户.共享帐号和普通部门帐号,等等.用户组策略设置相应权限.并且

modsecurity配置指令学习

事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作.不,从零开始.我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族.也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么. Understanding ModSecurity 像Apache为其他模块所做的一样,Apache为modsecurity处