ModSecurity 是一款開源Web應用防火牆,支持Apache/Nginx/IIS,可作為服務器基礎安全設施,還是不錯的選擇。
系統環境:window 2008 R2+IIS 7
0X01 ModSecurity安裝
ModSecurity 下載地址:http://www.modsecurity.org/download.html
選擇相應系統版本下載安裝文件
一路Next,保持默認配置完成安裝
安裝完成以后,在C:\Program Files\ModSecurity IIS 目錄存在如下文件:
0x02 相關配置
在C:\Windows\System32\inetsrv\config\applicationHost.config找到
<section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup> 改為 <section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>
在ModSecurrity安裝目錄ModSecurity IIS下找到modsecurity.conf,將
SecRuleEngine DetectionOnly改為
SecRuleEngine On
在網站目錄中,在web.config文件中添加如下配置:
<?xmlversion="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <ModSecurityenabled="true" configFile=" C:\ProgramFiles\ModSecurity IIS\modsecurity_iis.conf " /> </system.webServer> </configuration>
如已有web.config配置文件,可在system.webServer節點增加
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />
0x03 效果測試
分別訪問正常頁面與構造SQL注入語句頁面,查看攔截效果:
在應用程序日志中,也可以看到攔截日志信息:
0X04 403錯誤及解決
訪問正常頁面,403錯誤解決方法:
1、打開事件管理器,查看window日志--應用程序,查看攔截日志:
訪問的頁面被規則誤攔,我們可以去刪除這條規則來讓頁面恢復正常。在C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_41_sql_injection_attacks.conf中刪除id為950001的規則。
2、繼續訪問頁面,依然報錯,繼續查看日志 ,繼續刪除C:\Program Files\ModSecurity IIS\owasp_crs\base_rules\modsecurity_crs_21_protocol_anomalies.conf 中id為960017的規則,頁面恢復正常。
0X05 WAF規則測試
對waf的防御能力做一些測試,才能對waf進行針對性改寫,自定義防御規則,讓waf更加強大。
PHP+Mysql:
?id=1e0union%a0select 1,current_user,3 可繞過union select 獲取當前用戶名,select from 還是繞不過去,查看了一下規則,正則為 (?:\\Wselect.+\\W*?from),如果只有這個正則可以用mysql內聯注釋構造 /*!12345select*/ 1,2,3 from 繞過,但是還有其他一些過濾如(/*、/*!、*/),暫時沒想法更多的姿勢了,記錄一下。
bypass:%27%20%9e0union%20/*!5000select*/%0D1,%0D2,%0D3%20from--
參考文章:
nginx配合modsecurity實現WAF功能 https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
https://yq.aliyun.com/articles/54475
https://jesscoburn.com/archives/2013/05/14/installing-modsecurity-on-iis7-x/