modsecurity

摘要 在 详解http报文 相关文章中我们介绍了http协议是如何工作的，那么构建一个真实的网站还需要引入组件呢?一些常见的名词到底是什么含义呢？ 什么叫正向代理，什么叫反向代理 服务代理与负载均衡的差别 有了nginx，为啥还需要LVS 都有哪些负载均衡的方式 服务端演进 在前面文章中我们介绍过最简单的一种客户端-服务端响应模式，如下 这是http服务最简单的一种形式，服务端就一层web服务器。 现在我们服务端变复杂了，用户数增加了，并发量增加了。对我们服务端要求增加了 服务能力：一台服务器满足不了这么多的http的请求了。我们需要增加机器了，进行服务扩容了 安全防护：开始有人对我们的服务进行网络攻击了，需要保护服务端服务器，限制ip地址 网站升级: 网站上线后，需要提供7*24小时无间断服务了，发布新的版本，需要保证网站的可用。 代理服务 为了解决这些问题，我们需要引入 中间层 也就是代理，在客户端和服务端中间插入一个中间环节，代理服务。代理，狭义上讲就是不生产内容，只是转发上下游的请求和响应。 代理服务按照是否匿名可以分为 匿名代理： 外部不知道真实机器，只知道代理服务器 透明代理： 外界知道代理，也知道真实服务器 按照靠近客户端还是服务端，分为 正向代理： 代理客户端，代表着客户端向服务器端发送请求 反向代理： 代理服务端，代表着服务器向客户端发送请求。

开源waf是网络安全的重要部分，Cloudflare认为：十年后数字经济的网络安全基础设施会像水过滤系统一样普及，而这个过滤系统的核心就是waf。对于服务器来说，部署WEB应用防火墙十分重要，这方面的开源waf很多，但优秀的太少，笔者经过大量搜索，并结合市场热度，整理出2021年十大开源waf供大家参考。 1、OpenResty OpenResty 是由中国人章亦春发起，把nginx和各种三方模块的一个打包而成的软件平台，核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写，修改很复杂，而lua语言则简单得多，国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。 项目地址： https://github.com/openresty/ 2、AIHTTPS aihttps是hihttps的升级版，也是由中国人编写。特点是兼容ModSecurity规则，并且已经向人工智能方向进化：使用机器学习自主生成对抗规则，来防御包括：漏洞扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的WAF。 项目地址： https://github.com/qq4108863/ 官网： http://www.hihttps.com 3、ModSecurity ModSecurity是开源WAF的鼻祖，是一个开源的跨平台Web应用程序防火墙

Cross-Site Request Forgery（CSRF），中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10，在当前web漏洞排行中，与XSS和SQL注入并列前三。与前两者相比，CSRF相对来说受到的关注要小很多，但是危害却非常大。 通常情况下，有三种方法被广泛用来防御CSRF攻击：验证token，验证HTTP请求的Referer，还有验证XMLHttpRequests里的自定义header。鉴于种种原因，这三种方法都不是那么完美，各有利弊。 二 CSRF的分类 在跨站请求伪造（CSRF）攻击里面，攻击者通过用户的浏览器来注入额外的网络请求，来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面发送到任何地址的请求，因此也就意味着当用户在浏览他/她无法控制的资源时，攻击者可以控制页面的内容来控制浏览器发送它精心构造的请求。 1、网络连接。例如，如果攻击者无法直接访问防火墙内的资源，他可以利用防火墙内用户的浏览器间接的对他所想访问的资源发送网络请求。甚至还有这样一种情况，攻击者为了绕过基于IP地址的验证策略，利用受害者的IP地址来发起他想发起的请求。 2、获知浏览器的状态。当浏览器发送请求时，通常情况下，网络协议里包含了浏览器的状态。这其中包括很多，比如cookie，客户端证书或基于身份验证的header。因此，当攻击者借助浏览器向需要上述这些cookie

文章目录 11.2. WAF 11.2.1. 简介 11.2.1.1. 概念 11.2.1.2. 常见功能 11.2.1.3. 布置位置 11.2.2. 防护方式 11.2.3. 扫描器防御 11.2.4. WAF指纹 11.2.5. 绕过方式 11.2.5.1. 基于架构的绕过 11.2.5.2. 基于资源的绕过 11.2.5.3. 基于解析的绕过 11.2.5.4. 基于规则的绕过 11.2.6. 参考链接 11.2. WAF 11.2.1. 简介 11.2.1.1. 概念 WAF（Web Application Firewall，Web应用防火墙）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供加固的产品。 在市场上，有各种价格各种功能和选项的WAF。在一定程度上，WAF能为Web应用提供安全性，但是不能保证完全的安全。 11.2.1.2. 常见功能 检测异常协议，拒绝不符合HTTP标准的请求 对状态管理进行会话保护 Cookies保护 信息泄露保护 DDoS防护 禁止某些IP访问 可疑IP检查 安全HTTP头管理 X-XSS-Protection X-Frame-Options 机制检测 CSRF token HSTS 11.2.1.3. 布置位置 按布置位置，WAF可以分为云WAF、主机防护软件和硬件防护。云WAF布置在云上

WAF可分为许多种，从产品形态上来划分，可以大致分为三类： 1硬件设备类 目前安全市场上，大多数的 WAF 都属于此类。它们以一个独立的硬件设备的形态存在，支持以多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的Web应用提供安全防护。相对于软件产品类的WAF，这类产品的优点是性能好、功能全面、支持多种模式部署等，但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。 2软件产品类 这种类型的WAF采用纯软件的方式实现，特点是安装简单，容易使用，成本低。但它的缺点也是显而易见的，因为它必须安装在Web应用服务器上，除了性能受到限制外，还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、 网站安全 狗等。 3基于云的WAF 随着云计算技术的快速发展，使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝， imperva waf 是这类WAF的典型代表。 Web应用防火墙技术，一般均采用反向代理技术和虚拟主机技术原理，其工作流程是，将受保护的Web服务器建立虚拟主机，对每一个虚拟主机提供相应的安全策略来进行保护。同时把Web应用防火墙配置为反向代理服务器，用于代理Web服务器对外部网络的连接请求。当Web应用防火墙能够代理外部网络上的主机访问内部Web服务器的时候

一、ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS 1 SecRule：ModSecurity主要的指令，用于创建安全规则。 VARIABLES ：代表HTTP包中的标识项，规定了安全规则针对的对象。常见的变量包括：ARGS（所有请求参数）、FILES（所有文件名称）等。 OPERATOR：代表操作符，一般用来定义安全规则的匹配条件。常见的操作符包括：@rx(正则表达式）、@streq(字符串相同）、@ipmatch(IP相同）等。 ACTIONS：代表响应动作，一般用来定义数据包被规则命中后的响应动作。常见的动作包括：deny（数据包被拒绝）、pass(允许数据包通过）、id（定义规则的编号）、severity(定义事件严重程度）等。 二、ModeSecurity规则例解 规则1：防XSS攻击 SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSS Attack',severity:ERROR,deny,status:404" VARIABLES ARGS：所有请求参数； REQUEST_HEADERS：请求数据头部。 OPERATOR @rx <script>：如果正则匹配字符串"<script>"成功，则规则执行。 ACTIONS id

事务（transactions） Console（控制台） 1 Introduction Modsecurity是保护网络应用安全的工作。不，从零开始。我常称modsecurity为WAF（网络应用防火墙），这是种被广泛接受的叫法，它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具，我认为这个称呼更好的描述了modsecurity做了什么。 Understanding ModSecurity 像Apache为其他模块所做的一样，Apache为modsecurity处理一些基础任务： 1、 加密解密 2、 破坏HTTP请求的入站连接流 3、 部分性解析HTTP请求 4、 引导modsecurity，选择正确的配置文本（<VirtualHost>,<Location>等） 5、 De-chunks必需的请求体 反向代理模式时Apache会执行几个别的任务： 1、 请求转发到后端服务器（SSL或者非SSL） 2、 部分性解析HTTP响应 3、 De-chunks必需的响应体 What ModSecurity Does Modsecurity提供的功能大概能分成四个部分： Parsing 解析： Modsecurity会努力解析尽可能多的数据。Security-conscientious解析器会提取储存数据，义工在规则中使用，并支持一定的数据格式。