web安全入门-安装部署开源waf-modsecurity

modsecurity简介：

一款优秀的开源WAF。以较少时间，掌握最多知识。

开源的waf（Web Application Firewall）产品有ModSecurity、HiHTTPS、OpenWAF。

特点：

ModSecurity有以下作用：

SQL Injection (SQLi)：阻止SQL注入

Cross Site Scripting (XSS)：阻止跨站脚本测试

Local File Inclusion (LFI)：阻止利用本地文件包含漏洞进行测试

Remote File Inclusione(RFI)：阻止利用远程文件包含漏洞进行测试

Remote Code Execution (RCE)：阻止利用远程命令执行漏洞进行测试

PHP Code Injectiod：阻止PHP代码注入

HTTP Protocol Violations：阻止违反HTTP协议的恶意访问

HTTPoxy：阻止利用远程代理感染漏洞进行测试

Sshllshock：阻止利用Shellshock漏洞进行测试

Session Fixation：阻止利用Session会话ID不变的漏洞进行测试

Scanner Detection：阻止黑客扫描网站

Metadata/Error Leakages：阻止源代码/错误信息泄露

Project Honey Pot Blacklist：蜜罐项目黑名单

GeoIP Country Blocking：根据判断IP地址归属地来进行IP阻断

windows部署方式

1、下载modsecurity

2、我们选择iis版本

3、安装VCredist

先下载

安装

安装中

关闭

4、安装modsecurity

next

next

next

next

install

finish

5、规则配置

下载规则

将解压后的"crs-setup.conf.example"重命名为"crs-setup.conf"后复制到C:\Program Files\ModSecurity IIS下

修改modsecurity_iis.conf，将文件中的"Include crs-setup.conf.example"修改为"Include crs-setup.conf"

修改modsecurity.conf，将"SecRuleEngine DetectionOnly"改为"SecRuleEngine On"。

将解压后的rules文件夹复制到C:\Program Files\ModSecurity IIS\owasp_crs\下，

同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名，将".example"删除，

可将自己写的规则放置于此两个文件中。

替换

修改文件夹的权限

将c:\inetpub\temp\文件夹与c:\inetpub\logs\赋予IIS_IUSRS与IUSR完全控制权限。

重启IIS服务

安装完成

测试：

http://192.168.16.144:80/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E

linux部署方式

1、安装相关工具

yum install -y wget epel-release

yum install -y httpd httpd-devel pcre pcre-devel libxml2-devel gcc lua-devel yajl-devel ssdeep-devel curl-devel

输入

rm -f /var/run/yum.pid

2、编译Modsecurity

tar -zxvf modsecurity-2.9.3.tar.gz    解压文件
cd modsecurity-2.9.3        切换目录
./configure --enable-standalone-module --disable-mlogc    
make        编译

3、安装Nginx

wget http://nginx.org/download/nginx-1.16.1.tar.gz    获取源码
tar -xvzf nginx-1.16.1.tar.gz     解压文件
cd nginx-1.16.1
./configure 
make
make install

wget ​​http://nginx.org/download/nginx-1.16.1.tar.gz​​

tar -xvzf nginx-1.16.1.tar.gz

cd nginx-1.16.1

./configure

make && make install

启动nginx

/usr/local/nginx/sbin/nginx

4、nginx页面

http://服务器IP/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E

5、最后配置

mkdir -p /usr/local/nginx/conf/modsecurity/
cp /usr/local/modsecurity-2.9.3/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
cp /usr/local/modsecurity-2.9.3/unicode.mapping /usr/local/nginx/conf/modsecurity/unicode.mapping

由于我的是/root/Desktop/

mkdir -p /root/Desktop/nginx/conf/modsecurity/
cp /root/Desktop/modsecurity-2.9.3/modsecurity.conf-recommended /root/Desktop/nginx/conf/modsecurity/modsecurity.conf
cp /root/Desktop/modsecurity-2.9.3/unicode.mapping /root/Desktop/nginx/conf/modsecurity/unicode.mapping

下载规则文件压缩包，解压后复制crs-setup.conf.example到/usr/local/nginx/conf/modsecurity/下并重命名为crs-setup.conf；

复制rules文件夹到/usr/local/nginx/conf/modsecurity/下，同时修改REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example与RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example两个文件的文件名，将".example"删除，可将自己写的规则放置于此两个文件中；

6、编辑nginx.conf

在http或server节点中添加以下内容（在http节点添加表示全局配置，在server节点添加表示为指定网站配置）：

ModSecurityEnabled on;  
ModSecurityConfig modsecurity/modsecurity.conf;

编辑modsecurity.conf

SecRuleEngine DetectionOnly改为SecRuleEngine On

同时在文件末尾添加以下内容：

Include crs-setup.conf

Include rules/*.conf

重新加载Nginx测试效果

/usr/local/nginx/sbin/nginx -s reload

modsecurit搭建完成。