首页 王子

王子

  • 通过ModSecurity检测并替换请求体及响应体当中的指定内容

    通过ModSecurity检测并替换请求体及响应体当中的指定内容

    本文主要介绍通过ModSecurity检测并替换请求体及响应体当中的指定内容。一、应用场景1.特殊符号替换。通过对请求体内容进行过滤,可以对一些特殊符号进行替换,如空格、单双引号、斜杠、注释符等,降低网站被成功入侵的概率;2.避免信息泄露。通过对响应体内容进行过滤,可以避免网站在访问出错时,服务器或网站的一些信息被暴露出去,如网站目录等。3.违法信息监测。通过对响应体内容进行过滤,可以检测网站中是否存在违法信息,但一般对于服务商来说,更多的方式还是购买违法信息监测系统,在网络出口对所有业务进行监控。二、原理对请求体...

    应用实战 2021-07-29 1026 0
  • CentOS下对安装不同ModSecurity版本的Nginx的并发性能测试结果

    CentOS下对安装不同ModSecurity版本的Nginx的并发性能测试结果

    本文主要介绍在CentOS下,对安装ModSecurity 2.9.3与ModSecurity 3.0.4的Nginx分别进行并发性能测试,观察WAF造成的性能损耗。结论:如果要在Nginx上使用ModSecurity,个人建议使用2.9.3版本。测试环境:1、两台虚拟机,配置同为2核CPU、1G内存、20G硬盘;2、IP为192.168.142.134的虚机环境为Nginx+ModSecurity 2.9.3,IP为192.168.142.136的虚机环境为Nginx+ModSecurity 3.0.4;2、Ng...

    应用实战 2021-04-09 3173 0
  • 通过ModSecurity检测JSON格式数据

    通过ModSecurity检测JSON格式数据

    本文主要介绍,如何通过编写规则,对提交到WEB服务器的JSON格式的数据进行检测。前提:服务器中需要安装yajl-devel,且ModSecurity需要在其后再进行编译安装。默认情况下,ModSecurity将使用URLENCODED和MULTIPART解析器分别处理application/x-www-form-urlencoded和multipart/form-data类型的请求体,如要对JSON格式的数据进行解析并检测,需要临时更改解析器,如下方规则所示:SecRule REQUEST_HEADER...

    应用实战 2021-03-22 1966 0
  • CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件

    CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件

    本文主要介绍ModSecurity v2.9.3在CentOS+Nginx环境下的安装、WAF规则文件配置、以及防御效果的验证,因此对于Nginx仅进行简单化安装。服务器操作系统:CentOS-7-x86_64-DVD-1810.iso;ModSecurity:modsecurity-2.9.3.tar.gz一、安装相关工具yum install -y wget epel-release yum install -y httpd ht...

    使用教程 2021-03-11 5298 0
  • 通过ModSecurity检测XML格式数据

    通过ModSecurity检测XML格式数据

    本文主要介绍,如何通过编写规则,对提交到WEB服务器的XML格式的数据进行检测。以WordPress历史上的一个漏洞为例:xmlrpc.php暴力破解漏洞,黑客可POST以下数据到xmlrpc.php对网站后台的账号密码进行暴力破解:<?xml version="1.0" encoding="utf-8"?> <methodCall>     <methodName>wp.ge...

    应用实战 2021-03-05 1104 0
  • Windows下IIS安装ModSecurity的相关教程

    Windows下IIS安装ModSecurity的相关教程

    本文主要介绍Windows下为IIS安装ModSecurity 2.9.3以及对应的规则配置教程,IIS的安装过程在本文中不做阐述。请注意,个人并不建议使用ModSecurity来对IIS下的网站进行防御,因为OWASP的规则虽然能够防御大部分的网站入侵行为,但是其毕竟是国外开源项目,规则内缺少针对国内开源程序的漏洞防护,如织梦、PHPCMS、ThinKPHP等,因此,除非是现有的安全软件无法进行有效防护,或是要提高自动化运维水平,否则仍然建议使用国内目前流行的第三方安全软件,如护卫神、安全狗等。一、安装VCred...

    使用教程 2020-05-31 5892 0
  • ModSecurity通过SecRemoteRules指令加载远程服务器上的规则

    ModSecurity通过SecRemoteRules指令加载远程服务器上的规则

    本文主要介绍如何通过SecRemoteRules指令,来加载放置在远程服务器中的规则文件。一、应用场景该方法适合服务器数量众多,但经常需要更新规则的运维人员。作为景安网络产品经理,本人在通过使用ModSecurity为20万个网站进行基础防护时,由于云服务器数量巨大,每次更新规则后,都需要将新的规则文件同步到所有的服务器当中,虽然可以通过工具将规则文件进行批量自动上传,但是直接将规则放置在远程服务器当中,然后由业务服务器自动加载,更能减少运维工作量。二、指令介绍SecRemoteRules允许从指定的某个HTTPS...

    应用实战 2020-05-25 3785 0
  • ModSecurity OWASP规则集的两种配置模式

    ModSecurity OWASP规则集的两种配置模式

    本文主要介绍ModSecurity OWASP核心规则集的两种配置模式。OWASP规则的官方Github下载地址:https://github.com/coreruleset/coreruleset。OWASP V3核心规则集目前支持两种配置模式:1、异常评分模式(默认);2、独立控制模式;异常评分模式,也可称为"协同检测模式",在此模式下,当检测到威胁时,并不会直接阻断此次访问,而是向下继续进行规则匹配,每个匹配成功的规则都会增加"异常分数",在对客户端发起的请求...

    使用教程 2020-05-23 5213 0
  • ModSecurity防CC攻击、防采集规则配置

    ModSecurity防CC攻击、防采集规则配置

    本文主要介绍如何通过ModSecurity,来拦截单个IP对服务器的CC攻击或采集行为。该教程主要针对Apache,如果使用的是Nginx,则建议使用Nginx自带的HttpLimitReqModule模块进行防御,因为规则中的部分指令在ModSecurity V3版本中暂不支持,最终的效果是只要达到设定的攻击阈值,就会将IP地址进行永久封禁,除非重新加载Nginx,虽然看似更安全,但是封禁的IP信息会保存在内存中,随着封禁IP数量的增加,占用的内存也会越来越大,这部分内存只会在Nginx重新加载时才会释放。在OW...

    应用实战 2020-05-16 7218 0
  • 如何注册MAXMIND账户并下载免费的GeoIP数据库

    如何注册MAXMIND账户并下载免费的GeoIP数据库

    本文主要介绍如何注册MAXMIND账户并下载免费的GeoIP数据库。如果需要使用ModSecurity搭配GeoIP数据库来拦截非指定国家的所有IP,可参见文章:http://www.modsecurity.cn/practice/post/14.html首先,访问https://www.maxmind.com/en/geolite2/signup注册用户名:个人全名(Full name)与公司名(Company)可全部填写个人名字;行业(Industry)可随意选择,我选择的是数据分析(Analytics);国家...

    使用教程 2020-05-10 5556 0