modsecurity简介:
一款优秀的开源WAF。以较少时间,掌握最多知识。
开源的waf(Web Application Firewall)产品有ModSecurity、HiHTTPS、OpenWAF。
特点:
ModSecurity有以下作用:
SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站脚本测试
Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行测试
Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行测试
Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行测试
PHP Code Injectiod:阻止PHP代码注入
HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
HTTPoxy:阻止利用远程代理感染漏洞进行测试
Sshllshock:阻止利用Shellshock漏洞进行测试
Session Fixation:阻止利用Session会话ID不变的漏洞进行测试
Scanner Detection:阻止黑客扫描网站
Metadata/Error Leakages:阻止源代码/错误信息泄露
Project Honey Pot Blacklist:蜜罐项目黑名单
GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断
windows部署方式
1、下载modsecurity
2、我们选择iis版本
3、安装VCredist
先下载
安装
安装中
关闭
4、安装modsecurity
next
next
next
next
install
finish
5、规则配置
下载规则
将解压后的"crs-setup.conf.example"重命名为"crs-setup.conf"后复制到C:\Program Files\ModSecurity IIS下
修改modsecurity_iis.conf,将文件中的"Include crs-setup.conf.example"修改为"Include crs-setup.conf"
修改modsecurity.conf,将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On"。
将解压后的rules文件夹复制到C:\Program Files\ModSecurity IIS\owasp_crs\下,
同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名,将".example"删除,
可将自己写的规则放置于此两个文件中。
替换
修改文件夹的权限
将c:\inetpub\temp\文件夹与c:\inetpub\logs\赋予IIS_IUSRS与IUSR完全控制权限。
重启IIS服务
安装完成
测试:
http://192.168.16.144:80/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E
linux部署方式
1、安装相关工具
yum install -y wget epel-release
yum install -y httpd httpd-devel pcre pcre-devel libxml2-devel gcc lua-devel yajl-devel ssdeep-devel curl-devel
输入
rm -f /var/run/yum.pid
2、编译Modsecurity
tar -zxvf modsecurity-2.9.3.tar.gz 解压文件
cd modsecurity-2.9.3 切换目录
./configure --enable-standalone-module --disable-mlogc
make 编译
3、安装Nginx
wget http://nginx.org/download/nginx-1.16.1.tar.gz 获取源码
tar -xvzf nginx-1.16.1.tar.gz 解压文件
cd nginx-1.16.1
./configure
make
make install
wget http://nginx.org/download/nginx-1.16.1.tar.gz
tar -xvzf nginx-1.16.1.tar.gz
cd nginx-1.16.1
./configure
make && make install
启动nginx
/usr/local/nginx/sbin/nginx
4、nginx页面
http://服务器IP/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E
5、最后配置
mkdir -p /usr/local/nginx/conf/modsecurity/
cp /usr/local/modsecurity-2.9.3/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
cp /usr/local/modsecurity-2.9.3/unicode.mapping /usr/local/nginx/conf/modsecurity/unicode.mapping
由于我的是/root/Desktop/
mkdir -p /root/Desktop/nginx/conf/modsecurity/
cp /root/Desktop/modsecurity-2.9.3/modsecurity.conf-recommended /root/Desktop/nginx/conf/modsecurity/modsecurity.conf
cp /root/Desktop/modsecurity-2.9.3/unicode.mapping /root/Desktop/nginx/conf/modsecurity/unicode.mapping
下载规则文件压缩包,解压后复制crs-setup.conf.example到/usr/local/nginx/conf/modsecurity/下并重命名为crs-setup.conf;
复制rules文件夹到/usr/local/nginx/conf/modsecurity/下,同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名,将".example"删除,可将自己写的规则放置于此两个文件中;
6、编辑nginx.conf
在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置):
ModSecurityEnabled on;
ModSecurityConfig modsecurity/modsecurity.conf;
编辑modsecurity.conf
SecRuleEngine DetectionOnly改为SecRuleEngine On
同时在文件末尾添加以下内容:
Include crs-setup.conf
Include rules/*.conf
重新加载Nginx测试效果
/usr/local/nginx/sbin/nginx -s reload
modsecurit搭建完成。
