ModSecurity 是一款開源Web應(yīng)用防火墻���,支持Apache/Nginx/IIS,可作為服務(wù)器基礎(chǔ)安全設(shè)施,還是不錯的選擇���。
系統(tǒng)環(huán)境:window 2008 R2+IIS 7
0X01 ModSecurity安裝
ModSecurity 下載地址:http://www.modsecurity.org/download.html
選擇相應(yīng)系統(tǒng)版本下載安裝文件:
一路Next�,保持默認配置完成安裝:
安裝完成以后,在C:\Program Files\ModSecurity IIS 目錄存在如下文件:
0x02 相關(guān)配置
在C:\Windows\System32\inetsrv\config\applicationHost.config找到
<section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup>改為 <section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>
在ModSecurrity安裝目錄ModSecurity IIS下找到modsecurity.conf����,將:
SecRuleEngine DetectionOnly改為
SecRuleEngine On
在網(wǎng)站目錄中,在web.config文件中添加如下配置:
<?xmlversion="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " />
</system.webServer>
</configuration>如已有web.config配置文件��,可在system.webServer節(jié)點增加:
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />
0x03 效果測試
分別訪問正常頁面與構(gòu)造SQL注入語句頁面���,查看攔截效果:
在應(yīng)用程序日志中�����,也可以看到攔截日志信息:
0X04 403錯誤及解決
訪問正常頁面����,403錯誤解決方法:
1�、打開事件管理器,查看window日志--應(yīng)用程序����,查看攔截日志:
訪問的頁面被規(guī)則誤攔,我們可以去刪除這條規(guī)則來讓頁面恢復(fù)正常����。在C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_41_sql_injection_attacks.conf中刪除id為950001的規(guī)則����。
2����、繼續(xù)訪問頁面,依然報錯�,繼續(xù)查看日志 ,繼續(xù)刪除C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_21_protocol_anomalies.conf 中id為960017的規(guī)則��,頁面恢復(fù)正常�����。
0X05 WAF規(guī)則測試
對waf的防御能力做一些測試����,才能對waf進行針對性改寫,自定義防御規(guī)則��,讓waf更加強大�。
PHP+Mysql:
?id=1e0union%a0select 1,current_user,3 可繞過union select 獲取當(dāng)前用戶名���,select from 還是繞不過去���,查看了一下規(guī)則���,正則為 (?:\\Wselect.+\\W*?from),如果只有這個正則可以用mysql內(nèi)聯(lián)注釋構(gòu)造 /*!12345select*/ 1,2,3 from 繞過�����,但是還有其他一些過濾如(/*���、/*!���、*/),暫時沒想法更多的姿勢了,記錄一下��。
bypass:%27%20%9e0union%20/*!5000select*/%0D1,%0D2,%0D3%20from--
參考文章:
nginx配合modsecurity實現(xiàn)WAF功能
https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
https://yq.aliyun.com/articles/54475
https://jesscoburn.com/archives/2013/05/14/installing-modsecurity-on-iis7-x/
轉(zhuǎn)載于:https://www.cnblogs.com/xiaozi/p/7903330.html
該文章在 2024/7/5 18:06:54 編輯過
400 186 1886
