use*_*730 5 windows iis-7 mod-security railo owasp
我正在尝试在Windows中安装ModSecurity以帮助保护我的Coldfusion/Railo网站.我下载了MSI并安装了它,但是当我测试以确保它正常工作时它似乎没有阻止SQL注入.
我的问题是,有人知道在Windows中安装它的一步一步的方法吗?我找不到详细信息,但已找到许多关于如何在Linux中安装它的资料.
我甚至在Windows安装页面下查看了Ivan Ristic的ModSecurity手册,它没有提供太多细节.
提前致谢.
您需要web.config通过在以下<system.webServer>部分添加以下配置元素来在文件中启用ModSecurity :
<ModSecurity enabled="true"
configFile="c:\inetpub\wwwroot\owasp_crs\modsecurity_iis.conf" />
此外,开箱即用,规则引擎仅以"检测模式"运行(并且仍将问题请求记录到应用程序事件日志中),以免误报您的实时站点.
要允许ModSecurity采取阻止,拒绝等操作,您需要更改SecRuleEngine指令:
SecRuleEngine DetectionOnly
至
SecRuleEngine On
您可以在以下位置找到此设置:
C:\inetpub\wwwroot\owasp_crs\modsecurity.conf
在编辑此文件之前,您需要删除只读属性.您还需要以管理员身份运行编辑器.