标签: mod-security2

我目前在Windows Server 2008 R2上运行Apache 2.2.我想将Apache升级到版本2.4.9,以便我可以运行mod_security2.我通过安装程序安装了Apache 2.2.但是,我没有看到Apache v2.4.9的安装程序.我可以在ApacheLounge上找到完整的Apache Windows二进制文件.我不清楚如何无缝升级到2.4.9版.这就是我在想的事情:

• 从ApacheLounge下载2.4.9版Windows二进制文件
• 停止Apache 2.2服务
• 将C:\ Program Files(x86)\ Apache Software Foundation\Apache2.2重命名为Apache2.2_OLD
• 在C:\ Program Files(x86)\ Apache Software Foundation \创建Apache2.4文件夹
• 将下载的Windows二进制文件的内容复制到Apache2.4文件夹
• 在Apache2.4\bin文件夹中将httpd.exe设置为Windows服务
• 将httpd.conf文件从Apache2.2\conf复制到Apache2.4\conf
• 修改httpd.conf文件以指向新的Apache安装位置
• 从Apache2.4模块中丢失(和需要)的Apache\modules中复制任何模块
• 启动Apache2.4 Windows服务

我过度简化了吗？缺少哪些步骤？我对Apache比较陌生,所以我可能会忽略这一点.

经过很长时间处理2.9.0后,我成功安装了mod_security 2.7.5.

但现在,我遇到了一个问题.我创建了一个MVC项目并将其部署到安装了mod_security的IIS服务器上.我用MVC 4创建了一个简单的登录页面,当我按下登录时,用户名和密码不会发送到我的服务器.这就是我的登录功能失败的原因.发送POST数据,但不会发生模型绑定.

这是我的C#项目

有人可以帮我吗？这不是因为规则,因为我使用的是mod_security 2.7.5的基本规则,并且在事件查看器中没有记录与规则相关的错误.

• mod_security:2.7.5
• IIS:8.0
• MVC 4
• Windows 7的

这是我的项目:https://www.dropbox.com/s/a196c2qgyruc20f/MVC4_ModSecurity.rar？dl = 0

谢谢.

我们正在为ModSecurity(mod_security)寻找一些额外的规则 - 有两个商业选项,GotRoot或TrustWave的新选项

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

我听说过TrustWave而不是GotRoot.然而,GotRoot规则似乎在Google等上有更多的提及 - 似乎TrustWave的规则只出现在大约一个月左右之前

我们将使用它们来保护电子商务网站

我正在尝试将一系列ips(Googlebots)列入Ubuntu 12.04服务器上的modsecurity白名单.例如,这是我需要列入白名单的范围:

66.249.64.0/19

我尝试了其他人建议的几种方法,但只有单个ips被阻止,当我尝试作为范围时,白名单被忽略.我已将规则添加到文件底部新部分的/usr/share/modsecurity-crs/modsecurity_crs_10_config.conf中.

这有效:

SecRule REMOTE_ADDR"^ 66.249.65.3"阶段:1,nolog,allow,ctl:ruleEngine = Off

这些不起作用:

SecRule REMOTE_ADDR"^ 66.249.64.0/19"阶段:1,nolog,allow,ctl:ruleEngine = off

SecRule REMOTE_ADDR"@ipMatch 66.249.64.0/19""阶段:1,nolog,允许"

SecRule REMOTE_ADDR"^ 66.249.64\0/19 $"阶段:1,nolog,allow,ctl:ruleEngine = Off

我已经看到了几种不同的语法建议,但似乎没有一种方法适用于我的安装.mod-security的版本是否重要？有什么建议吗？TIA

我正在使用mod_security 2.6.3,我希望能够基于规则严重性级别执行shell脚本.我正在使用核心规则集(CRS),它在检测到攻击时将严重性级别设置为2(对于"严重").

我想在严重程度足够高时执行我的脚本.

我尝试使用该SecDefaultAction设置,例如:

SecDefaultAction "phase:2,log,deny,status:403,exec:/path/to/my/script"

但是,由于'exec'动作是一种"非破坏性"动作,它总是会被执行,无论是关键规则还是非关键规则都是如此.

我可以通过每个批评SecRule并在它旁边添加"exec",但这将是乏味的(并且重复,丑陋).

我以为我可以这样做:

SecRule ENV:SEVERITY "@lt 4" "exec:/path/to/my/script"

但不知怎的,它永远不会被执行,可能是因为关键规则有一个阻止或拒绝语句,它会停止规则处理(因为被认为具有破坏性).

我也尝试过使用CRS异常评分功能,如下所示:

SecRule TX:ANOMALY_SCORE "@ge 4" "exec:/path/to/my/script"

但它仍然没有得到处理.有关如何做到这一点的任何想法？

我已经启用了 SecRuleEngine，以便按照本教程在 apache 的 mod_security 中实现每个 IP 请求的突发限制。

https://johnleach.co.uk/words/2012/05/15/rate-limiting-with-apache-and-mod-security/

经过几次测试后，它似乎在 GET 和 POST 请求上按预期工作，但是单独启用 SecRuleEngine（未启用任何规则）似乎会阻止 PUT 和 DELETE 请求。这似乎不是预期的行为。

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#SecRuleEngine

我将 Apache 2.4 与 mod_security 版本 2 一起使用，但如果 mod_security 恰好是其中的一个错误，我愿意放弃它，并且我有一个替代方案来限制它的速率。

如何在使用或不使用 mod_security 的情况下修复速率限制系统？

仅当文件驻留在特定目录中时，我才想使用 ModSecurity 修改响应内容。我实施了这样的规则：

SecRule REQUEST_URI "@contains /admin/" "phase:2,chain,t:none,t:urlDecode,t:lowercase,t:normalizePath,deny,log"

SecRule STREAM_OUTPUT_BODY "@rsub s/test/replaced_string/" "phase:4,t:none,log,pass,msg:'String replaced'"

但是写完这条规则后，当我重新启动 apache2 时，modsecurity 给了我一个错误：ModSecurity: Disruptive actions can only be specified by chain starter rules。我也尝试以其他方式编写规则，但没有帮助。

知道为什么会这样吗？

我已使用以下说明安装了 Mod Security：https : //www.digitalocean.com/community/tutorials/how-to-set-up-modsecurity-with-apache-on-ubuntu-14-04-and-debian- 8

它似乎工作正常，但我似乎无法为 WordPress 登录创建例外。我已将以下内容添加到我的虚拟主机文件中：

<Directory "/var/www/domain.com/public_html/wp-admin">
    <IfModule security2_module>
        SecRuleEngine Off
    </IfModule>
</Directory>

我还尝试了以下方法：

<LocationMatch "/wp-admin">
    <IfModule security2_module>
        SecRuleEngine Off
    </IfModule>
</LocationMatch>

以及两者的不同组合。

我正在运行 Ubuntu 16.04.2，但我想它与 14.04 相同，对吧？

我刚刚在 asp.net mvc 中制作了我的第一个项目，并将其放在 hostgator.in 上。在我的应用程序的一页上，我通过 ajax 加载部分视图，该视图无法正常工作，并且在控制台中出现错误

Failed to load resource: the server responded with a status of 403 (ModSecurity Action)。

搜索后，我了解到客户端（我的浏览器）无权访问所请求的 url，因此没有 ajax 调用正在工作/没有 javascript 代码正在运行。我不明白为什么我没有获得许可

我刚刚在我的 Apache2 Web 服务器上安装了 mod_security。

我激活了所有的base_rules/我激活了OWASP CRS 中的

我通过查看内部发现了误报/var/log/apache2/modsec_audit.log。

目标网址是：

/mobile//index.cfm?gclid=Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ

错误日志是：

消息：警告。模式匹配 "([\~\!\@\#\$\%\^\&\*\(\)\-\+\=\{\}\[\]\|\:\;\"\ '\\xc2\xb4\\xe2\x80\x99\\xe2\x80\x98\`\<\>].*?){4,}" at ARGS:gclid。[文件“/usr/share/modsecurity” -crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [行"159"] [id "981173"] [rev "2"] [msg "受限 SQL 字符异常检测警报 - 超出特殊字符总数"] [数据"匹配数据： - 在 ARGS:gclid 中找到：Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ"] [ver "OWASP_CRS/2.2.8"] [成熟度 "9"] [准确度 "8"] [标签“OWASP_CRS/WEB_ATTACK/SQL_INJECTION "] 消息：警告。操作员 LT 在 TX:inbound_anomaly_score 处匹配 5。[文件“/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf”] [行“33”] [id“981203”] [msg“入站”异常分数（总入站分数：3、SQLi=1、XSS=0）：受限 SQL 字符异常检测警报 - 超出特殊字符总数”]

该消息是不言自明的，但是...对于我的网站来说，这不是恶意 URL。

如何将此类 URL（例如包含 gclid 参数）列入“白名单”而不是完全禁用规则 981203？