ModSecurity 是一款開源Web應(yīng)用防火墻,支持Apache/Nginx/IIS,可作為服務(wù)器基礎(chǔ)安全設(shè)施���,還是不錯(cuò)的選擇���。
系統(tǒng)環(huán)境:window 2008 R2+IIS 7
0X01 ModSecurity安裝
ModSecurity 下載地址:http://www.modsecurity.org/download.html
選擇相應(yīng)系統(tǒng)版本下載安裝文件:
一路Next���,保持默認(rèn)配置完成安裝:
安裝完成以后,在C:\Program Files\ModSecurity IIS 目錄存在如下文件:
0x02 相關(guān)配置
在C:\Windows\System32\inetsrv\config\applicationHost.config找到
<section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup>改為 <section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>
在ModSecurrity安裝目錄ModSecurity IIS下找到modsecurity.conf���,將:
SecRuleEngine DetectionOnly改為
SecRuleEngine On
在網(wǎng)站目錄中,在web.config文件中添加如下配置:
<?xmlversion="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " />
</system.webServer>
</configuration>如已有web.config配置文件��,可在system.webServer節(jié)點(diǎn)增加:
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />
0x03 效果測(cè)試
分別訪問(wèn)正常頁(yè)面與構(gòu)造SQL注入語(yǔ)句頁(yè)面�����,查看攔截效果:
在應(yīng)用程序日志中���,也可以看到攔截日志信息:
0X04 403錯(cuò)誤及解決
訪問(wèn)正常頁(yè)面�����,403錯(cuò)誤解決方法:
1、打開事件管理器���,查看window日志--應(yīng)用程序,查看攔截日志:
訪問(wèn)的頁(yè)面被規(guī)則誤攔�,我們可以去刪除這條規(guī)則來(lái)讓頁(yè)面恢復(fù)正常��。在C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_41_sql_injection_attacks.conf中刪除id為950001的規(guī)則。
2�����、繼續(xù)訪問(wèn)頁(yè)面��,依然報(bào)錯(cuò),繼續(xù)查看日志 ,繼續(xù)刪除C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_21_protocol_anomalies.conf 中id為960017的規(guī)則�����,頁(yè)面恢復(fù)正常��。
0X05 WAF規(guī)則測(cè)試
對(duì)waf的防御能力做一些測(cè)試���,才能對(duì)waf進(jìn)行針對(duì)性改寫��,自定義防御規(guī)則,讓waf更加強(qiáng)大�。
PHP+Mysql:
?id=1e0union%a0select 1,current_user,3 可繞過(guò)union select 獲取當(dāng)前用戶名����,select from 還是繞不過(guò)去���,查看了一下規(guī)則��,正則為 (?:\\Wselect.+\\W*?from)��,如果只有這個(gè)正則可以用mysql內(nèi)聯(lián)注釋構(gòu)造 /*!12345select*/ 1,2,3 from 繞過(guò),但是還有其他一些過(guò)濾如(/*、/*!、*/),暫時(shí)沒(méi)想法更多的姿勢(shì)了,記錄一下���。
bypass:%27%20%9e0union%20/*!5000select*/%0D1,%0D2,%0D3%20from--
參考文章:
nginx配合modsecurity實(shí)現(xiàn)WAF功能
https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
https://yq.aliyun.com/articles/54475
https://jesscoburn.com/archives/2013/05/14/installing-modsecurity-on-iis7-x/
轉(zhuǎn)載于:https://www.cnblogs.com/xiaozi/p/7903330.html
該文章在 2024/7/5 18:06:54 編輯過(guò)
400 186 1886
