ModSecurity规则制定
ModSecurity规则实验
实验目的:
通过编写ModSecurity规则,熟悉waf的工作方式,并掌握常见检测规则的编写方法。
实验环境说明
靶机已经安装了一个可渗透的网站,并安装了ModSecurity安全模块。 操作系统:Ubuntu 14.04 服务器:apache2.4.7 数据库:mysql-5.5.62 PHP:php5.5.9 ModSecurity:2.7.7 目标网站:phpcms 访问地址:http://IP/phpcms/
实验过程:
1、首先对目标网站进行渗透测试尝试。
2、在服务器的/usr/share/modsecurity-crs/activated_rules/my_rules.conf文件中,编写自己的规则。
3、修改apache配置文件:/etc/apache2/mods-available/security2.conf:
includeOptional /etc/modsecurity/*.conf include /usr/share/modsecurity-crs/activated_rules/my_rules.conf
使其仅加载自己编写的规则my_rules.conf。然后重启apache2服务器(可能有错误,需要修正后重启)。
4、利用操作机进行渗透测试,验证规则的有效性。
5、根据渗透的不同步骤,编写针对性的规则,并体验不同规则关键字的异同。
实验报告:
对自己编写的规则,进行验证,并在实验报告中详细记录以下各内容: 1、规则内容; 2、渗透测试输入内容; 3、waf防护效果; 4、服务器ModSecurity日志记录内容。 以上为一条完整记录,每人至少记录30条。 对不同的命令字、变量、检测算法、事务以及动作等覆盖全面。
实验小结
本实验通过编写ModSecurity规则对SQL注入进行检测和防御。规则的严谨程度直接关系到防护的效果,因此,在编写规则的时候,需要考虑到各种可能的变异情形,并采用合适的动作进行防御。
