Articles of mod security

Mod Security中是否有基于Web的日志pipe理实用程序？ parsingMod Security的日志是一件非常头疼的事情。 我只能看到传统的日志监控系统，而不是任何用于安全日志分析的系统。

对mod_sec非常新颖 我想阻止一个UAstring，我注意到有几种types： SecRule HTTP_User-Agent SecRule REQUEST_HEADERS:User-Agent 他们之间真正的区别是什么？ 我的街区： SecRule REQUEST_HEADERS:User-Agent "perl" "phase:2,pass,msg:'Perl based user agent identified'" 我需要设置一个SecDefaultAction阶段：2，拒绝，状态：403，日志，auditlog在那之前？ 那么下面的那个SecRule就是这个行为吧？

我正在研究mod_security的所有owasp规则。 如果你全部使用它们，会减less你的加载时间吗？ 什么是推荐的软件包使用？ 我想要阻止不良的UA，SQL和XSS攻击。

我有以下apache设置（在conf.d/owasp-modsecurity.conf ）： SecAuditLog "/var/www/vhosts/${lowercase:%{SERVER_NAME}}/statistics/logs/modsec_audit.log" 当我做httpd -t我得到以下错误： /etc/httpd/conf.d/owasp-modsecurity.conf第15行的语法错误：ModSecurity：无法打开审计日志文件：/ var / www / vhosts / $ {小写：％{SERVER_NAME}} / statistics /日志/ modsec_audit.log 我的意图应该是相当明显的。 我想mod_security审计日志条目最终在特定于虚拟主机的文件。 这已经发生在常规的访问和错误日​​志（尽pipe我不知道它是如何完成的）。 为了logging，我也尝试了盲目的下列项目，没有工作： $HOSTNAME ${SERVER_NAME} $SERVER_NAME和$HOST 。 一秒钟，但这些都是环境variables…应该不是有东西来获得Apache内部variables？ 相关链接 https://stackoverflow.com/questions/4684655/is-it-possible-to-use-variables-in-httpd-conf 每个用户的虚拟主机日志

我有一个启用了modsecurity的网站，但是当我试图通过网站访问服务器上的PDF文档时，我收到了403 Forbidden 。 有没有办法将PDF文件白名单允许通过网站或可能的configuration选项被提供？ –9a349c55-A– [14/Aug/2013:10:05:57 –0400] UguOxX8AAQEAAD22d8AAAACN 192.168.1.108 52929 192.168.1.125 80 –9a349c55-B– GET /pdf/sample.pdf HTTP/1.1 Host: www.example.com Connection: keep-alive User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36 Accept: */* Referer: http://www.example.com/pdf/sample.pdf Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Cookie: __utma=143856170.1892623529.1376158518.1376158518.1376158518.1; __utmz=143856170.1376158518.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=1.834637782.1376487927.1376487927.1376487927.1; __utmb=1.4.10.1376487927; __utmc=1; __utmz=1.1376487927.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none) Range: bytes=0-32767 –9a349c55-F– HTTP/1.1 403 Forbidden […]

我们的客户有规则集2.0.5的ModSecurity 2.0，但他告诉我们在开发结束时的细节。 我需要审核所有的应用程序代码，并确保它不会影响ModSecurity。 （它已经） 我知道你不能在POST中提交重要的“内容”和“文档”，这会严重影响我们的应用程序。 鉴于ModSecurity的版本/规则集的数量，在哪里可以find我不能用于键$ _GET和$ _POST和/或禁止标题值的理解解释？ 我在网站上find的文件太笼统了，或者我误解了它。 谢谢

这是我第一次遇到像这样的问题。 我mod_ajp on 8009使用mod_ajp on 8009 apache2后面有一个java应用程序设置。 我注意到我无法获得客户端的IP，所以我创build了另一个虚拟主机文件并切换到mod_jk 。 然后我使用mod_ajp禁用虚拟主机。 所以我的mod_jk一直工作正常，直到我开始从fanclub安全强化。 我已经应用notpad2.blogpost.com上显示的方法，我还是很好。 今天早上，我看到在modsecu_audit.log文件中的日志： Action: Intercepted (phase 1) Stopwatch: 1394809780952048 3090 (- – -) Stopwatch2: 1394809780952048 3090; combined=812, p1=492, p2=0, p3=0, p4=0, p5=253, sr=143, sw=67, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.5. Server: Apache WebApp-Info: "default" "C35A8A3AB916218E923E5A8E6A73595B" "" –81b0e75f-Z– 在虚拟主机error.log我有下面的错误 [Thu Mar 13 […]

我的Web服务器上有一个受密码保护的目录。 为了防止暴力攻击，我试图在apache2configuration文件中添加基于IP的BLockingconfiguration。 但每次我重新启动Apache2我得到语法错误。 有谁知道如何解决这个问题？ 谢谢 Apache版本：2.2 Mod Security CRS – 2.2.8-1 重新启动Apache时出错 /etc/init.d/apache2 restart * Restarting web server apache2 [fail] * The apache2 configtest failed. Output of config test was: AH00526: Syntax error on line 252 of /etc/apache2/apache2.conf: ModSecurity: No action id present within the rule Action 'configtest' failed. The Apache error log may have […]

我想完全删除或阻止访问我的网站中的特定页面。 更具体地说，我已经看到了这个漏洞“ Joomla COM_MEDIA Exploit ”： http : //all1gat0r.blogspot.gr/2013/08/joomla-commedia-exploit.html 从我看到的，有页面： /index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder= 这个漏洞对我不起作用，但无论如何我想彻底删除上面的页面 。 我怎样才能做到这一点？ Web服务器： Ubuntu 14.04 LTS （ 安装Mod Security2 ） 网站： Joomla 3.1.5

我有一个Apache 2.2.29-1.4与mod_security 2.8.0-5.25这是一个本地Java应用程序的mod_proxy_http反向代理。 我对某些URL有误报，并希望将OWASP规则列入给定URI的白名单。 目前全球将一个规则列入白名单 SecRuleRemoveById 960010 完美的作品 但是两者 <LocationMatch ^/(myapp/mymethod.do.*)$> SecRuleRemoveById 960010 ProxyPassMatch http://localhost:8080/$1 </LocationMatch> 和 <Location "/myapp/mymethod.do"> SecRuleRemoveById 960010 </Location> ProxyPass /myapp/mymethod.do http://localhost:8080/myapp/mymethod.do ProxyPassReverse /myapp/mymethod.do http://localhost:8080/myapp/mymethod.do 不要将规则列入白名单。 我也尝试添加新的mod_security规则来修改现有的，但白名单的URI总是失败… 任何见解？