ModSecurity CRS笔记[转]
对安全人员而言,WAF貌似最有价值的是规则,我们来看看ModSecurity CRS规则集的组织结构。ModSecurity CRS 规则集包括一个配置文件与四个部分(基础规则集、SLR规则集、可选规则集、实验性质规则集)
配置文件
modsecurity_crs_10_setup.conf
第一部分:基础规则集
modsecurity_crs_20_protocol_violations.conf HTTP协议规范相关规则
modsecurity_crs_21_protocol_anomalies.conf HTTP协议规范相关规则
modsecurity_crs_23_request_limits.conf HTTP协议大小长度限制相关规则
modsecurity_crs_30_http_policy.conf HTTP协议白名单相关规则
modsecurity_crs_35_bad_robots.conf 恶意扫描器与爬虫规则
modsecurity_crs_40_generic_attacks.conf 常见的攻击例如命令执行,代码执行,注入,文件包含、敏感信息泄露、会话固定、HTTP响应拆分等相关规则
modsecurity_crs_41_sql_injection_attacks.conf SQL注入相关规则(竟然有一条MongoDB注入的规则,很全)
modsecurity_crs_41_xss_attacks.conf XSS相关规则
modsecurity_crs_42_tight_security.conf 目录遍历相关规则
modsecurity_crs_45_trojans.conf webshell相关规则
modsecurity_crs_47_common_exceptions.conf Apache异常相关规则
modsecurity_crs_49_inbound_blocking.conf 协同防御相关规则
modsecurity_crs_50_outbound.conf 检测response_body中的错误信息,警告信息,列目录信息
modsecurity_crs_59_outbound_blocking.conf 协同防御相关规则
modsecurity_crs_60_correlation.conf 协同防御相关规则
第二部分:SLR规则集
来自确定APP的PoC,不会误报,检测方法是先检查当前请求的文件路径是否出现在data文件中,若出现再进行下一步测试,否则跳过该规则集的检测
modsecurity_crs_46_slr_et_joomla_attacks.conf JOOMLA应用的各种漏洞规则
modsecurity_crs_46_slr_et_lfi_attacks.conf 各种APP的本地文件包含相关规则
modsecurity_crs_46_slr_et_phpbb_attacks.conf PHPBB应用的各种漏洞规则
modsecurity_crs_46_slr_et_rfi_attacks.conf 各种APP的远程文件包含相关规则
modsecurity_crs_46_slr_et_sqli_attacks.conf 各种APP的SQL注入相关规则
modsecurity_crs_46_slr_et_wordpress_attacks.conf WORDPRESS应用的各种漏洞规则
modsecurity_crs_46_slr_et_xss_attacks.conf 各种APP的XSS相关规则
第三部分:可选规则集
modsecurity_crs_10_ignore_static.conf 静态文件不过WAF检测的相关规则
modsecurity_crs_11_avs_traffic.conf AVS(授权的漏洞扫描器)的IP白名单规则
modsecurity_crs_13_xml_enabler.conf 请求体启用XML解析处理
modsecurity_crs_16_authentication_tracking.conf 记录登陆成功与失败的请求
modsecurity_crs_16_session_hijacking.conf 会话劫持检测
modsecurity_crs_16_username_tracking.conf 密码复杂度检测
modsecurity_crs_25_cc_known.conf CreditCard验证
modsecurity_crs_42_comment_spam.conf 垃圾评论检测
modsecurity_crs_43_csrf_protection.conf 与modsecurity_crs_16_session_hijacking.conf联合检测,使用内容注入动作append注入CSRF Token
modsecurity_crs_46_av_scanning.conf 使用外部脚本扫描病毒
modsecurity_crs_47_skip_outbound_checks.conf modsecurity_crs_10_ignore_static.conf的补充
modsecurity_crs_49_header_tagging.conf 将WAF规则命中情况配合Apache RequestHeader指令注入到请求头中,以供后续应用进一步处理
modsecurity_crs_55_application_defects.conf 安全头(X-XSS-Protection,X-FRAME-OPTIONS,X-Content-Type-Options)设置,安全Cookie设置(Domain,httponly,secure),字符集设置等规则
modsecurity_crs_55_marketing.conf记录MSN/Google/Yahoo robot情况
第四部分:实验性规则集
modsecurity_crs_11_brute_force.conf 防御暴力破解相关规则
modsecurity_crs_11_dos_protection.conf 防DoS攻击相关规则
modsecurity_crs_11_proxy_abuse.conf 检测X-Forwarded-For是否是恶意代理IP,IP黑名单
modsecurity_crs_11_slow_dos_protection.conf Slow HTTP DoS攻击规则
modsecurity_crs_25_cc_track_pan.conf 检测响应体credit card信息
modsecurity_crs_40_http_parameter_pollution.conf 检测参数污染
modsecurity_crs_42_csp_enforcement.conf CSP安全策略设置
modsecurity_crs_48_bayes_analysis.conf 使用外部脚本采取贝叶斯分析方法分析HTTP请求,区分正常与恶意请求
modsecurity_crs_55_response_profiling.conf 使用外部脚本将响应体中的恶意内容替换为空
modsecurity_crs_56_pvi_checks.conf使用外部脚本检测 REQUEST_FILENAME是否在osvdb漏洞库中
modsecurity_crs_61_ip_forensics.conf 使用外部脚本收集IP的域名、GEO等信息
modsecurity_crs_40_appsensor_detection_point_2.0_setup.conf APPSENSOR检测设置文件
modsecurity_crs_40_appsensor_detection_point_3.0_end.conf APPSENSOR检测设置文件
modsecurity_crs_16_scanner_integration.conf 对扫描器设置IP白名单,并调用扫描器API来进行检测
modsecurity_crs_46_scanner_integration.conf
modsecurity_crs_40_appsensor_detection_point_2.1_request_exception.conf 使用外部脚本检测请求方法,参数个数,参数名字,参数长度,参数字符等限制
modsecurity_crs_40_appsensor_detection_point_2.9_honeytrap.conf 使用隐藏参数设置蜜罐
ModSecurity CRS单条规则的内容,请参看ModSecurity CRS详解
shell上传:见文件上传
shell连接:get/post/cookie
GET
POST
Referer
Cookie
X_Forwarded_For
UserAgent
Basic-Authorization
get lfi/rfi
post lfi/rfi
cookie lrfi/rfi
data://URI
php://input
php://filter
get directory traversal
post directory traversal
php
asp(x)
jsp
struts2
nginx CVE
PHP CGI
get rce
post rce
GET
POST
get code injection
post code injection
svn/cvs
后台暴露
不合规范的RequestLine
异常文件名
请求体解析错误
multipart请求体解析错误
Content-Length异常
Content-Enoding异常
Range异常
Request-Range异常
Expect异常
Connection异常
Pragma, Cache-Control
Host异常
User-Agent异常
Accpet异常
X-Forwarded-For异常
编码异常,url编码异常,utf-8异常
charset设置缺失或不一致
Cookie Domain/httponly/secure设置错误
安全头设置错误X-XSS-Protection,X-FRAME-OPTIONS,X-Content-Type-Options
允许请求方法 GET/POST/HEAD
允许协议版本HTTP/1.0 or HTTP/1.1
允许Content-Type
允许的文件后缀名
允许的请求头
长度限制
参数名长度限制
参数值长度限制
参数个数限制
参数的总大小
上传文件大小限制
上传文件总大小限制
编码限制
转载于:https://www.cnblogs.com/fangyuan303687320/p/5810416.html
ModSecurity CRS笔记[转]相关推荐
- [转]Web应用防火墙WAF详解
通过nginx配置文件抵御攻击 0x00 前言 大家好,我们是OpenCDN团队的Twwy.这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明 ...
- waf应用防火墙详解
通过nginx配置文件抵御攻击 0x00 前言 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行.其特点是占有内存少,并 ...
- Linux 部署开源WAF模块 ModSecurity
简介 ModSecurity是由 Trustwave 的 SpiderLabs 开发的用于 Apache.IIS 和 Nginx 的开源.跨平台 Web 应用程序防火墙 (WAF) 引擎,被称为W ...
- 深入理解SQL注入绕过WAF和过滤机制
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...
- 深入理解SQL注入绕过WAF与过滤机制
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...
- [转]杂谈如何绕过WAF(Web应用防火墙)
技术分享:杂谈如何绕过WAF(Web应用防火墙) 0×01开场白 这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家. 可能在大家眼中WAF(Web应用防火墙)就是"不要脸& ...
- 页面嵌套除了iframe还能用什么方法_CTF|有关CSP绕过的方法
CSP 0️⃣CSP的由来? 一个简单的 XSS 漏洞页面,没有对用户的输入进行过滤,就像这样: <form><input type="text" name=&q ...
- web应用安全防御100技 好书再次阅读, 变的只是表象,被概念迷惑的时候还是静下心来回顾本质...
如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度.而本文要介绍一本能很好回答这个问题的优秀书籍--<we ...
- web应用安全防御100技
原文:http://danqingdani.blog.163.com/blog/static/186094195201411204383402/ 作者:碳基体 如何进行web应用安全防御,是每个web ...
最新文章
- 【linux】ubuntu14.04升级dbus到1.13.8,杯具了,无法进入桌面
- Hibernate和Mysql5.1以上版本创建表出错 type=InnDB
- composer在windows中安装失败
- 2008年12月答疑贴
- lunix下的redis数据库操作——list列表
- 什么是“云计算”,具体是怎么应用的?
- Bootstrap3.0学习第十二轮(导航、标签、面包屑导航)
- C# 子类实例化基类 基类使用不了子类的方法_C#中的类、方法和属性
- Tensorflow(r1.4)API--tf.nn.dropout
- 计算机网络超详细笔记(一):计网概述
- 如何优雅地给同事提“改进性建议”
- 移动应用的全新方式:超级app+轻应用
- 麻雀虽小,五脏俱全 - Java工具类库 - Hutool
- 日期比较(substring split prase)
- 视频推流一周研究调查报告
- singletask和onNewintent
- 永恒之蓝漏洞ms17-010
- 几张趣图带你了解程序员眼中的世界
- 祁文之恋——婚纱照——准备
- 门禁接入动环系统,门磁接入动环系统怎么设置
热门文章
- 腾讯桌面 删除后 桌面图标全部消失怎么办?
- uC/OSIII时钟节拍处理过程
- bp神经网络performance怎么看,BP神经网络用什么软件
- H.264 编解码器特点
- iphone工作原理
- PL/SQL将大小写转换图标显示到工具栏
- 【软考】【系统架构设计师】决策论知识点
- 安装Paddle,或解决报错:ModuleNotFoundError: No module named ‘paddle‘
- 触景无限CEO肖洪波:冗杂的AI安防行业,需追寻“精益之道”
- rk3288 img打包工具_【个人开源】机器人运动规划学习工具箱使用说明