ModSecurity 是一款開(kāi)源Web應(yīng)用防火墻,支持Apache/Nginx/IIS,可作為服務(wù)器基礎(chǔ)安全設(shè)施,還是不錯(cuò)的選擇����。
系統(tǒng)環(huán)境:window 2008 R2+IIS 7
0X01 ModSecurity安裝
ModSecurity 下載地址:http://www.modsecurity.org/download.html
選擇相應(yīng)系統(tǒng)版本下載安裝文件:
一路Next��,保持默認(rèn)配置完成安裝:
安裝完成以后�,在C:\Program Files\ModSecurity IIS 目錄存在如下文件:
0x02 相關(guān)配置
在C:\Windows\System32\inetsrv\config\applicationHost.config找到
<section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup>改為 <section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>
在ModSecurrity安裝目錄ModSecurity IIS下找到modsecurity.conf,將:
SecRuleEngine DetectionOnly改為
SecRuleEngine On
在網(wǎng)站目錄中�����,在web.config文件中添加如下配置:
<?xmlversion="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " />
</system.webServer>
</configuration>如已有web.config配置文件���,可在system.webServer節(jié)點(diǎn)增加:
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />
0x03 效果測(cè)試
分別訪問(wèn)正常頁(yè)面與構(gòu)造SQL注入語(yǔ)句頁(yè)面���,查看攔截效果:
在應(yīng)用程序日志中,也可以看到攔截日志信息:
0X04 403錯(cuò)誤及解決
訪問(wèn)正常頁(yè)面��,403錯(cuò)誤解決方法:
1��、打開(kāi)事件管理器����,查看window日志--應(yīng)用程序�,查看攔截日志:
訪問(wèn)的頁(yè)面被規(guī)則誤攔��,我們可以去刪除這條規(guī)則來(lái)讓頁(yè)面恢復(fù)正常�。在C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_41_sql_injection_attacks.conf中刪除id為950001的規(guī)則。
2���、繼續(xù)訪問(wèn)頁(yè)面����,依然報(bào)錯(cuò)��,繼續(xù)查看日志 ���,繼續(xù)刪除C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_21_protocol_anomalies.conf 中id為960017的規(guī)則���,頁(yè)面恢復(fù)正常。
0X05 WAF規(guī)則測(cè)試
對(duì)waf的防御能力做一些測(cè)試�����,才能對(duì)waf進(jìn)行針對(duì)性改寫(xiě)��,自定義防御規(guī)則,讓waf更加強(qiáng)大�����。
PHP+Mysql:
?id=1e0union%a0select 1,current_user,3 可繞過(guò)union select 獲取當(dāng)前用戶(hù)名�����,select from 還是繞不過(guò)去���,查看了一下規(guī)則,正則為 (?:\\Wselect.+\\W*?from)����,如果只有這個(gè)正則可以用mysql內(nèi)聯(lián)注釋構(gòu)造 /*!12345select*/ 1,2,3 from 繞過(guò),但是還有其他一些過(guò)濾如(/*�、/*!、*/),暫時(shí)沒(méi)想法更多的姿勢(shì)了�����,記錄一下�����。
bypass:%27%20%9e0union%20/*!5000select*/%0D1,%0D2,%0D3%20from--
參考文章:
nginx配合modsecurity實(shí)現(xiàn)WAF功能
https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
https://yq.aliyun.com/articles/54475
https://jesscoburn.com/archives/2013/05/14/installing-modsecurity-on-iis7-x/
轉(zhuǎn)載于:https://www.cnblogs.com/xiaozi/p/7903330.html
該文章在 2024/7/5 18:06:54 編輯過(guò)
400 186 1886
