2. 程式人生 > >modSecurity規則學習(六)——檢測模式

modSecurity規則學習(六)——檢測模式

阿新 發佈:2018-04-18
debug move 都是 action pattern denied 復雜 不用 rup

傳統檢測模式-自主規則

傳統檢測模式所有規則都是“閉環”的模式。就像HTTP本身一樣,單獨的規則是無狀態的。這意味著規則之間不共享信息,每個規則都沒有關於任何先前規則匹配的信息。它僅使用其當前的單個規則邏輯進行檢測。在此模式下,如果規則觸發,它將執行當前規則中指定的任 何中斷/記錄日誌操作。
設置方法:
修改Crs-setup.conf

# Example: Self-contained mode, return error 403 on blocking
# - In this configuration the default disruptive action becomes ‘deny‘. After a
# rule triggers, it will stop processing the request and return an error 403.
# - You can also use a different error status, such as 404, 406, et cetera.
# - In Apache, you can use ErrorDocument to show a friendly error page or
# perform a redirect: https://httpd.apache.org/docs/2.4/custom-error.html
#
SecDefaultAction "phase:1,log,auditlog,deny,status:403"
SecDefaultAction "phase:2,log,auditlog,deny,status:403"

  

該設置為上面提到的CRS傳統檢測模式。當CRS規則匹配時,它將被拒絕,然後告警數據將記錄到Apache error_log文件和ModSecurity審計日誌。以下是SQL註入
攻擊的一個示例error_log消息:

[Tue Nov 16 16:02:38 2017] [error] [client ::1] ModSecurity: Access denied with
code 403 (phase 2). Pattern match "\\bselect\\b.{0,40}\\buser\\b" at ARGS:foo. 
[file "/usr/local/apache/conf/modsec_current/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] 
[line "67"] [id "959514"] [rev "2.0.9"] [msg "Blind SQL Injection Attack"] 
[data "select * from user"] [severity "CRITICAL"] [tag "WEB_ATTACK/SQL_INJECTION"] 
[tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] 
[tag "PCI/6.5.2"] [hostname "localhost"] [uri "/vulnerable_app.php"] 
[unique_id "TOLxbsCoC2oAABvWGW4AAAAA"]

 

這種消息格式看起來與傳統的規則日誌格式相同。

傳統檢測模式的優缺點:
優點

  • 新用戶容易理解
  • 更好的性能(更低的延遲/資源),因為直接阻斷了,停止進一步處理。

缺點

  • 從規則管理的角度來看,這不是最優的(處理誤報/例外)
  • 編輯規則的復雜正則表達式很困難
  • 典型的方法是將現有規則復制/粘貼到本地自定義規則文件中,編輯邏輯然後禁用現有的CRS規則
  • 最終結果是,當新的CRS版本發布時,大量定制的規則集未被更新

從安全角度來看並非最佳

  • 並非每個站點都具有相同的風險容忍度
  • 較低嚴重程度的警報大部分被忽略
  • 單個低嚴重性警報可能不用阻止,多個低嚴重性警報在一起了需要阻止

異常評分檢測模式 - 協作規則概念

這種改進的檢測模式的核心理念是實施協作檢測和延遲阻塞。這意味著我們通過將檢查/檢測與阻塞功能分離來改變規則邏輯。可以運行單個規則,以便檢測仍
然存在,但是,不是在此時應用任何破壞性操作,而是會進行事務性異常評分記錄。另外,每個規則還將存儲關於每個規則匹配的元數據(例如規則ID,攻擊類
別,匹配位置和匹配數據)在唯一TX變量內。
設置方法:
修改Crs-setup.conf

SecDefaultAction "phase:1,pass,log"
SecDefaultAction "phase:2,pass,log"


在這種新模式下,每個匹配規則不會阻塞,而是會使用ModSecurity的setvar動作增加異常分數。以下是SQL註入CRS規則的一個示例,該規則使用setvar動作來
增加整體異常評分和SQL註入子類別評分:{rule.id}-OWASP_CRS/WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}"

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|REQUEST_HEADERS:User-Agent|REQUEST_HEADERS:Referer|ARGS_NAMES|ARGS| 
XML:/* "@detectSQLi" "msg:‘SQL Injection Attack Detected via libinjection‘,id:942100,severity:‘CRITICAL‘,rev:‘1‘,ver:‘OWASP_CRS/3.0.0‘,maturity:‘1‘,accuracy:‘8‘,phase:request,block,multiMatch,t:none,t:utf8toUnicode,t:urlDecodeUni,t:removeNulls,t:removeComments,capture,logdata:‘Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}‘,tag:‘application-multi‘,tag:‘language-multi‘,tag:‘platform-multi‘,tag:‘attack-sqli‘,tag:‘OWASP_CRS/WEB_ATTACK/SQL_INJECTION‘,tag:‘WASCTC/WASC-19‘,tag:‘OWASP_TOP_10/A1‘,tag:‘OWASP_AppSensor/CIE1‘,tag:‘PCI/6.5.2‘,setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.sql_injection_score=+%{tx.critical_anomaly_score},setvar:‘tx.msg=%{rule.msg}‘,setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{matched_var}"

  

異常評分嚴重性等級

每個規則都具有指定的嚴重性級別。我們已經更新了規則,以允許異常評分收集增量使用宏擴展。這裏是一個例子:
例如上面那條規則的setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},

這允許用戶從crs-setup.conf文件中設置自己的異常評分值,並通過使用宏擴展將這些值傳播出來供規則使用。

# -- [[ Anomaly Mode Severity Levels ]] ----------------------------------------
#
# Each rule in the CRS has an associated severity level.
# These are the default scoring points for each severity level.
# These settings will be used to increment the anomaly score if a rule matches.
# You may adjust these points to your liking, but this is usually not needed.
#
# - CRITICAL severity: Anomaly Score of 5.
# Mostly generated by the application attack rules (93x and 94x files).
# - ERROR severity: Anomaly Score of 4.
# Generated mostly from outbound leakage rules (95x files).
# - WARNING severity: Anomaly Score of 3.
# Generated mostly by malicious client rules (91x files).
# - NOTICE severity: Anomaly Score of 2.
# Generated mostly by the protocol rules (92x files).
#
# In anomaly mode, these scores are cumulative.
# So it‘s possible for a request to hit multiple rules.
#
# (Note: In this file, we use ‘phase:1‘ to set CRS configuration variables.
# In general, ‘phase:request‘ is used. However, we want to make absolutely sure
# that all configuration variables are set before the CRS rules are processed.)
#
#SecAction # "id:900100,# phase:1,# nolog,# pass,# t:none,# setvar:tx.critical_anomaly_score=5,# setvar:tx.error_anomaly_score=4,# setvar:tx.warning_anomaly_score=3,# setvar:tx.notice_anomaly_score=2"


2.8以上版本的是在Crs-setup.conf中配置,看著比較亂了!!!
這種配置表明,嚴格等級為“critical”的每個CRS規則都會將每次規則匹配的事務異常分數提高5分。當我們有規則匹配時,您可以從modsec_debug.log文件中
看到常評分是如何加分的:

executing operator "rx" with param "\\bselect\\b.{0,40}\\buser\\b" against ARGS:foo.
Target value: "\xe2\x80\x98 union select * from user &#"
Added regex subexpression to TX.0: select * from user
Operator completed in 14 usec.
Ctl: Set auditLogParts to ABIFHZE.
Setting variable: tx.msg=%{rule.msg}
Resolved macro %{rule.msg} to: Blind SQL Injection Attack
Set variable "tx.msg" to "Blind SQL Injection Attack".
Setting variable: tx.sql_injection_score=+%{tx.critical_anomaly_score}
Recorded original collection variable: tx.sql_injection_score = "0"
Resolved macro %{tx.critical_anomaly_score} to: 5
Relative change: sql_injection_score=0+5
Set variable "tx.sql_injection_score" to "5".
Setting variable: tx.anomaly_score=+%{tx.critical_anomaly_score}
Recorded original collection variable: tx.anomaly_score = "0"
Resolved macro %{tx.critical_anomaly_score} to: 5
Relative change: anomaly_score=0+5
Set variable "tx.anomaly_score" to "5".
Setting variable: tx.%{rule.id}-WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}
Resolved macro %{rule.id} to: 959514
Resolved macro %{matched_var_name} to: ARGS:foo
Resolved macro %{tx.0} to: select * from user
Set variable "tx.959514-WEB_ATTACK/SQL_INJECTION-ARGS:foo" to "select * from user".
Resolved macro %{TX.0} to: select * from user
Warning. Pattern match "\bselect\b.{0,40}\buser\b" at ARGS:foo. [file 
"/usr/local/apache/conf/modsec_current/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "67"] [id "959514"] [rev "2.0.9"] 
[msg "Blind SQL Injection Attack"] [data "select * from user"] [severity "CRITICAL"] [tag "WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] 
[tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]

  

異常評分閾值等級(阻塞)

現在有了進行異常評分,下一步就是設置我們的閾值。這是如果當前交易分數高於此分數值,它將被拒絕。配置在Crs-setup.conf中

# Initialize anomaly scoring variables.
# All _score variables start at 0, and are incremented by the various rules
# upon detection of a possible attack.
# sql_error_match is used for shortcutting rules for performance reasons.

SecAction \
"id:901200,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.anomaly_score=0,\
setvar:tx.sql_injection_score=0,\
setvar:tx.xss_score=0,\
setvar:tx.rfi_score=0,\
setvar:tx.lfi_score=0,\
setvar:tx.rce_score=0,\
setvar:tx.php_injection_score=0,\
setvar:tx.http_violation_score=0,\
setvar:tx.session_fixation_score=0,\
setvar:tx.inbound_anomaly_score=0,\
setvar:tx.outbound_anomaly_score=0,\
setvar:tx.sql_error_match=0"

通過這些當前的默認設置,異常評分模式將從阻塞的角度看起來與傳統模式類似。由於所有關鍵等級規則都會將異常分數提高5分,這意味著即使是1個關鍵等級
規則匹配也會導致阻塞。如果您想調整異常分數以便阻止非惡意客戶(誤報)的可能性較低,則可以將tx.inbound_anomaly_score_level設置提高到10或15等更
高的值。這說明要阻止該請求需要評分為10或15以上,這種方法的另一個優點是可以聚合多個較低嚴重性規則匹配,然後決定阻止。

啟用/禁用阻止

REQUEST-949-BLOCKING-EVALUATION.conf 中的規則,用於評估請求階段結束時的異常分數並阻止請求:

#
# -=[ Anomaly Mode: Overall Transaction Anomaly Score ]=-
#
SecRule TX:ANOMALY_SCORE "@ge %{tx.inbound_anomaly_score_threshold}" \
"msg:‘Inbound Anomaly Score Exceeded (Total Score: %{TX.ANOMALY_SCORE})‘,\
severity:CRITICAL,\
phase:request,\
id:949110,\
t:none,\
deny,\
log,\
tag:‘application-multi‘,\
tag:‘language-multi‘,\
tag:‘platform-multi‘,\
tag:‘attack-generic‘,\
setvar:tx.inbound_tx_msg=%{tx.msg},\
setvar:tx.inbound_anomaly_score=%{tx.anomaly_score}"
當然也可以用特定分數來阻止,比如sql註入等。

異常評分檢測模式的優缺點

優點

  • 對阻止的信心增加 - 由於更多檢測規則導致異常評分,評分越高,您越有信心阻止惡意事務。
  • 允許用戶設置適合他們的閾值 - 不同的網站可能有不同的阻止閾值。
  • 允許多個低嚴重性事件觸發警報,同時抑制單個警報。
  • 一個相關事件有助於警報管理。
  • 可以通過增加整體異常評分閾值或通過向本地自定義例外文件添加規則來處理例外情況,其中可以檢查之前規則匹配的TX數據並基於錯誤的標準重新調整異常分
  • 數。

缺點

  • 對於普通用戶來說更為復雜。
  • 日誌監控腳本可能需要更新才能正確分析

modSecurity規則學習(六)——檢測模式

相關推薦

modSecurity規則學習——檢測模式

debug move 都是 action pattern denied 復雜 不用 rup 傳統檢測模式-自主規則 傳統檢測模式所有規則都是“閉環”的模式。就像HTTP本身一樣,單獨的規則是無狀態的。這意味著規則之間不共享信息,每個規則都沒有關於任何先前規則匹配的信息。它僅

設計模式快速學習模板模式

舉個例子:我們寫HTML的時候,先寫head然後寫body,這樣完成了一個空HTML頁面的架子,我們的這一系列行為就是一個模板。模板模式中,首先會定義一個抽象類來宣告這個事件模板,子類實現並被呼叫。也是很簡單的一個設計模式。 JDBC就是用到了模板模式: Game.class 抽象類。定

C++語言學習——二階構造模式

工程 ESS 語句 argc 流程 失敗 ostream 分享圖片 半成品對象 C++語言學習(六)——二階構造模式 一、構造函數的問題 構造函數存在的問題:A、構造函數只提供自動初始化成員變量的機會B、不能保證初始化邏輯一定成功,如申請系統資源可能失敗C、執行return

java學習面向對象 final關鍵字

hello int java學習 xtend 最終 .sh 方法 div ext 1.被fnial修飾的方法不能被重寫,常見的為修飾類,方法,變量 /* final可以修飾類,方法,變量 特點: final可以修飾類,該類不能被繼

線程學習--單例和多線程、ThreadLocal

pen single cal final ride args ash public 線程 一、ThreadLocal 使用wait/notify方式實現的線程安全,性能將受到很大影響。解決方案是用空間換時間,不用鎖也能實現線程安全。 來看一個小例子,在線程內的set、get

Linux 網卡驅動學習應用層、tcp 層、ip 層、設備層和驅動層作用解析

local acc 每次 letter auto sizeof style article inode 本文將介紹網絡連接建立的過程、收發包流程,以及當中應用層、tcp層、ip層、設備層和驅動層各層發揮的作用。 1、應用層 對於使用socket進行網絡連接的serv

RabbitMQ學習:遠程結果調用

cells actor ble 隨機 get getenv all 求和 int 場景:我們需要在傳輸消息時得到結果 客服端在發送請求時會發送回調隊列,服務端處理事情完成後會將結果返回到回調隊列中,在增加關聯標誌關聯每個請求和服務返回 客戶端代碼: public

Django學習---博客文章頁面的超鏈接設置

_id 三個參數 name app dex pla django (六) pat Django中的超鏈接 超鏈接的目標地址 href後面是目標地址 template中可以用 {% url ‘app_name : url_name’ param %} app_name:

java設計模式策略模式

() pan win with blog trac java設計模式 ring ide   策略模式定義了一系列的算法,並將每一個算法封裝起來,而且使它們可以相互替換,讓算法獨立於使用它的客戶而獨立變化,具體應用場景如第三方支付對接不同銀行的算法。   要點:1)抽象策略角

別樣JAVA學習繼承下(2.3)異常下

關閉 exit dsm 練習 方便 pub xtend 運行 script 1、RuntimeException Exception中有一個特殊的子類異常RuntimeException執行時異常。 假設在函數內容拋出該異常,函數上能夠不用聲明。編譯一樣

設計模式——原型模式

設計模式 原型模式設計模式(六)——原型模式一、原型模式簡介1、原型模式簡介 原型模式使用原型實例指定創建對象的種類,並且通過拷貝原型對象創建新的對象。 Prototype模式提供了一個通過已存在對象進行新對象創建的接口(clone), clone()實現和具體的語言相關,在C++中通過拷貝構造函

python學習---文件操作

not game seek read 終端設備 fas uic med ear 文件操作文件操作流程 1、打開文件,得到文件句柄並賦值給一個變量 2、通過句柄對文件進行操作 3、關閉文件現有文件如下: Somehow, it seems the love I knew

linux學習絕對路徑、相對路徑、cd、mkdir、rmdir、rm

director shell script local mkdir -p create deb blog 目錄 一、絕對路徑 就是從根開始的,如:/root、/usr/local。 二、相對路徑 相對於當前路徑的,比如我們在當前路徑下建立了一個a.txt。 [root@i

js設計模式---組合模式

結構 性能 文件 樹形結構 add err 添加 scan ice   組合模式將對象組合成樹形結構,以表示“部分-整體”的層次結構。除了用來表示樹形結構之外,組合模式的另一個好處是通過對象的多態性表現,使得用戶對單個對象和組合對象的使用具有一致性。基本圖例 1、組合模

webpack學習打包壓縮js和css

網頁 com 換行符 最小化 合並 標準 註意 resolve hash 打包壓縮js與css 由於webpack本身集成了UglifyJS插件(webpack.optimize.UglifyJsPlugin)來完成對JS與CSS的壓縮混淆,無需引用額外的插件, 其命令we

Docker學習: 網絡使用與配置

sock AR -i 回顧 覆蓋 htm 參考 ble dock 特別聲明:   博文主要是學習過程中的知識整理,以便之後的查閱回顧。部分內容來源於網絡(如有摘錄未標註請指出)。內容如有差錯,也歡迎指正! =============系列文章============= 1

FFMpeg學習 用libavfilter對視頻尺寸進行裁切

example doc 分享 col 參數 tails 環境 坐標 通過 在ffmpeg框架中,濾鏡(filter)功能通過libavfilter庫實現。 一個filter可以同時有多個輸入和輸出。以圖為例: 圖中的一系列操作共使用了四個filter,分

【JMeter4.0學習】之邏輯控制器說明

style var pan cond png 是否 AD lse sample 簡述一些遇到問題的。 一、如果控制器 Interpret Condition as Variable Expression?:選中這一項時表示:判斷變量值是否等於字符串true

C++學習之 輸出

分享 2.3 span pri hello 2.4 小數位 bubuko 整型 輸出學習時的筆記(其實也沒什麽用,留著給自己看的) printf 用於輸出內容 控制臺黑窗口printf("要輸出的內容"); //可以是任意內容-->如果要輸出變量 1、格式占

Android Studio 學習內容提供器

cti cli number break move num hang .sh onclick 運行時權限 使用ContextCompat.checkSelfPermission(MainActivity.this,Manifest.permission.CALL_PHON