modsecurity: 规则例子: 根据参数进行判断/规则的通用格式
一,根据参数的值进行判断:
1,对所有参数进行判断
规则:
SecRule ARGS "@rx attack" "phase:1,log,deny,id:1"测试:
http://a.b.com/index.html?name=attack2,根据变量名进行判断
规则:判断name变量中是否包含admin
SecRule ARGS:name "@rx admin" "phase:1,log,deny,id:2012"测试:
http://a.b.com/index.html?name=admin3,根据多个变量名进行判断
规则:user或name两个变量中均不可包含admin
SecRule ARGS:name|ARGS:user "@rx admin" "phase:1,log,deny,id:2012"测试:
http://a.b.com/index.html?user=admin4,对个别参数名进行排除
规则: abc参数的值可以包含abc,除此之外其他参数均不可包含abc
SecRule ARGS|!ARGS:who "@rx abc" "phase:1,log,deny,id:2013"测试:
http://a.b.com/index.html?user=abc二,规则的通用格式
1,格式:通用格式
SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]
2,variable: 变量
包括:
请求变量
server变量
响应变量
请求体解析变量
时间变量
实体变量
server变量
响应变量
请求体解析变量
时间变量
实体变量
官方文档地址:
http://www.modsecurity.cn/chm/ARGS.html
3,operator: 操作符
包括:
字符串操作符
数字操作符
验证操作符
杂项操作符
官方文档地址:
http://www.modsecurity.cn/chm/Operators.html4, transform function 转换函数
官方文档地址:
http://www.modsecurity.cn/chm/TransformationFunctions.html
5, action 动作
官方文档地址:
http://www.modsecurity.cn/chm/Actions.html三,一个排版很清晰的文档页面:
https://www.cnblogs.com/wuweidong/p/8559177.html
