nginx安装modsecurity WAF防火墙
测试使用的地址
http://192.168.52.120/static/index.html?param="><script>alert(1);</script>"
http://192.168.52.120/static/index.html?param=--delete from user
扩展知识点
# 将请求的文件存放到指定的文件,File可以是一个绝对文件路径
wget -O FILE http://xxx
# 将请求的文件存放到指定的目录中
wget -P DIR http://xxx
# 将tar解压后的内容放在指定目录下
tar -xvzf xxxx.tar.gz -C DIR/
WAF防火墙
naxsi开源WAF
是第三方nginx模块,和Modsecurity都是开源的WAF,但是他们的防御模式不同,Naxsi 不依赖像防病毒软件这样的签名库,因此不会被“未知”攻击模式所规避(就像我们平常说的主动防御)。Naxsi 和其他 WAF 之间的另一个主要区别就是仅过滤 GET 和 POST 请求。
naxsi项目地址:https://github.com/nbs-system/naxsi
参考文件:
Modsecurity开源WAF
modsecurity的下载,可以在modsecurity的官网首页中有下载链接
modsecurity安装参考[1]
一、安装相关依赖工具
二、下载modsecurity并安装modsecurity
三、安装nginx与ModSecurity-nginx
yum install -y gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre-devel lmdb-devel libxml2-devel ssdeep-devel lua-devel libtool autoconf automake
yum install -y readline-devel curl-devel gcc gcc-c++ python-devel lua-devel doxygen perl yajl-devel GeoIP-devel lmdb-devel ssdeep-devel flex bison autoconf automake
cd /data/sources/
tar -xvzf modsecurity-v3.0.4.tar.gz
cd modsecurity-v3.0.4
./configure
make
make install
cd /data/sources/
tar -xvzf modsecurity-nginx-v1.0.2.tar.gz
tar -xvzf nginx-1.22.0.tar.gz
cd nginx-1.22.0
./configure --add-module=/data/sources/modsecurity-nginx-v1.0.2
make
make install
mkdir -p /usr/local/nginx/conf/modsecurity
cp /data/sources/modsecurity-v3.0.4/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
cp /data/sources/modsecurity-v3.0.4/unicode.mapping /usr/local/nginx/conf/modsecurity/
# 下载规则文件压缩包owasp-modsecurity-crs-3.3-dev.zip,解压文件
cp /data/sources/owasp-modsecurity-crs-3.3-dev/crs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf
# 复制rules文件夹到/usr/local/nginx/conf/modsecurity/
cp -r /data/sources/owasp-modsecurity-crs-3.3-dev/rules /usr/local/nginx/conf/modsecurity/
cd /usr/local/nginx/conf/modsecurity/rules/
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
四、配置modsecurity到nginx中
echo-nginx 目录 /data/sources/echo-nginx-module-0.62
ModSecurity-nginx 目录 /data/sources/ModSecurity-nginx
modsecurity 目录 /data/sources/modsecurity-v3.0.4
nginx源码 目录 /data/sources/nginx-1.22.0
nginx安装 目录 /usr/local/nginx
cd /usr/local/nginx/conf/
mkdir modsecurity
cp /data/sources/modsecurity-v3.0.4/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
cp /data/sources/modsecurity-v3.0.4/unicode.mapping /usr/local/nginx/conf/modsecurity/
# 下载规则文件压缩包owasp-modsecurity-crs-3.3-dev.zip,解压文件
cp /data/sources/owasp-modsecurity-crs-3.3-dev/crs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf
# 复制rules文件夹到/usr/local/nginx/conf/modsecurity/
cp -r /data/sources/owasp-modsecurity-crs-3.3-dev/rules /usr/local/nginx/conf/modsecurity/
cd /usr/local/nginx/conf/modsecurity/rules/
mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf
说明:owasp-modsecurity-crs-3.3-dev.zip下载
编辑nginx.conf
在http或server节点中添加以下内容(在http节点添加表示全局配置,在server节点添加表示为指定网站配置):
server {
modsecurity on;
modsecurity_rules_file /usr/local/nginx/conf/modsecurity/modsecurity.conf;
}
编辑/usr/local/nginx/conf/modsecurity/modsecurity.conf
文件内容:
SecRuleEngine DetectionOnly
改为 SecRuleEngine On
在文件末尾同时添加以下内容:
Include /usr/local/nginx/conf/modsecurity/crs-setup.conf
Include /usr/local/nginx/conf/modsecurity/rules/*.conf
重新加载Nginx测试效果
http://192.168.52.120/static/index.html?param="><script>alert(1);</script>"
访问会返回403状态码,被拦截处理了
参考:
[1] CentOS下Nginx+ModSecurity(3.0.x)安装教程及配置WAF规则文件
[2] CentOS下对安装不同ModSecurity版本的Nginx的并发性能测试结果
[3] modsecurity官网
[4] CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件