ModSecurity 是一个开源的 Web 应用防火墙 (WAF) 模块,旨在保护 Web 应用免受各种安全威胁。能够实时监控和过滤 HTTP 流量,以阻止恶意攻击。
主要功能如下
- 入侵防护:可以识别并阻止多种类型的 Web 攻击,如 SQL 注入 (SQL Injection)、跨站脚本攻击 (XSS)、跨站点请求伪造 (CSRF) 等。
- 监控记录:提供 HTTP 请求和回应的详细日志,可以帮助分析攻击的特征和来源。
- 灵活的规则引擎:可以根据需要自订规则,针对特定的应用环境和威胁情境进行调整。
- 与 OWASP CRS 整合:OWASP Core Rule Set (CRS) 与 ModSecurity 的结合,能够显著增强 Web 应用的安全性。
首先,安装 Ubuntu 22.04 并更新。
sudo apt update
sudo apt upgrade
安装ModSecurity
安裝编译 ModSecurity 所需的依赖软件包
sudo apt install gcc make build-essential autoconf automake libtool \
libcurl4-openssl-dev liblua5.3-dev libfuzzy-dev ssdeep gettext pkg-config \
libgeoip-dev libyajl-dev doxygen libpcre++-dev libpcre2-16-0 libpcre2-dev \
libpcre2-posix3 zlib1g zlib1g-dev -y
下载、编译并安装ModSecurity
cd /opt
sudo git clone https://github.com/owasp-modsecurity/ModSecurity.git
cd ModSecurity
sudo git submodule init
sudo git submodule update
sudo ./build.sh
sudo ./configure
sudo make
sudo make install
下载Modsecurity NGINX 连接器
ModSecurity NGINX 连接器做为 NGINX 和 ModSecurity 之间的通讯通道,需要它才能将 ModSecurity 与 NGINX 结合使用。
下载 Modsecurity Nginx 连接器,我们稍后将使用它。
cd /opt
sudo git clone https://github.com/owasp-modsecurity/ModSecurity-nginx.git
安装NGINX
sudo apt install nginx -y
设定开机时启动 NGINX
sudo systemctl enable nginx
sudo systemctl status nginx
检查我们的 NGINX 版本
sudo nginx -v
nginx version: nginx/1.26.2
下载相同版本的 NGINX源码,解压缩并将目录变更为 NGINX 来源。
cd /opt
sudo wget https://nginx.org/download/nginx-1.26.2.tar.gz
sudo tar -xzvf nginx-1.26.2.tar.gz
cd nginx-1.26.2
配置 NGINX 源码,加入 ModSecurity NGINX 连接器,并重新编译模块。
sudo ./configure --with-compat --add-dynamic-module=/opt/ModSecurity-nginx
sudo make
sudo make modules
将编译好的模块复制到 NGINX 的启用模块目录底下,同时复制 ModSecurity 和 Unicode 的配置。
sudo cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules-enabled/
sudo cp /opt/ModSecurity/modsecurity.conf-recommended /etc/nginx/modsecurity.conf
sudo cp /opt/ModSecurity/unicode.mapping /etc/nginx/unicode.mapping
启用 ModSecurity
编辑 NGINX 的配置來载入 ModSecurity 模块
sudo nano /etc/nginx/nginx.conf
將此行新增至配置中
load_module /etc/nginx/modules-enabled/ngx_http_modsecurity_module.so;
还需要修改服务器区块来启动 ModSecurity
sudo nano /etc/nginx/sites-enabled/default
modsecurity on;
modsecurity_rules_file /etc/nginx/modsecurity.conf;
编辑 /etc/nginx/modsecurity.conf,將 SecRuleEngine 改為 On。
sudo nano /etc/nginx/modsecurity.conf
SecRuleEngine On
检查设定档是否正确并重新启动 NGINX 服务器
sudo nginx -t
sudo systemctl restart nginx
使用 OWASP CRS 核心規則集
OWASP CRS 提供规则来检查客户端请求是否包含恶意代码,旨在保护 Web 应用程式免受各种攻击,包括 OWASP 十大攻击并减少误报。
- 预防常见的 Web 攻击:CRS 能够侦测并阻挡常见的攻击手法,如 SQL 注入 (SQL Injection)、跨站脚本攻击 (Cross-Site Scripting, XSS)、本地档案包含 (Local File Inclusion, LFI)、远端档案包含 (Remote File Inclusion, RFI) 等。
- 安全性加强:提供了一个强大的预设规则集,几乎涵盖了所有 OWASP 前十大安全风险。帮助开发者在不需要深入理解每个攻击面向的情况下,加强应用的安全性。
- 灵活性:用户可以根据应用的特定需求调整或禁用某些规则,可以减少误报 (False Positives),同时确保对真正威胁的检测。
- 跨平台支持:CRS 可以与多种 WAF 引擎搭配使用,如 ModSecurity、NGINX、Apache、IIS 等,并且可以在不同的操作系统上运行。
下载 OWASP CRS 到 NGINX 指定目录
sudo git clone https://github.com/coreruleset/coreruleset.git /etc/nginx/owasp-crs
原本名为 crs-setup.conf.example 的文件重命名为 crs-setup.conf
sudo cp /etc/nginx/owasp-crs/crs-setup.conf{.example,}
我們需要更新 ModSecurity 配置以載入 OWASP CRS
sudo nano /etc/nginx/modsecurity.conf
Include owasp-crs/crs-setup.conf
Include owasp-crs/rules/*.conf
检查配置文件是否正确并重新启动 NGINX 服务器
sudo nginx -t
sudo systemctl restart nginx
使用浏览器测试 Modsecurity NGINX
尝试存取您的服务器并在其上添加一些 Shell 代码
http://your_ip_address/index.php?s=/bin/bash
如果一切按预期工作,将显示 403 禁止访问。
相关的 ModSecurity消息,可以查看 modsec_audit 日志。
sudo tail -f /var/log/modsec_audit.log
ModSecurity: Warning. Matched "Operator `Rx' with parameter `(?:^([\d.]+|\[[\da-f:]+\]|[\da-f:]+)(:[\d]+)?$)' against variable `REQUEST_HEADERS:Host' (Value: `23.97.66.120' ) [file "/etc/nginx/owasp-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf"] [line "772"] [id "920350"] [rev ""] [msg "Host header is a numeric IP address"] [data "23.97.66.120"] [severity "4"] [ver "OWASP_CRS/4.6.0-dev"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-protocol"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/210/272"] [tag "PCI/6.5.10"] [hostname "10.3.0.4"] [uri "/index.php"] [unique_id "172480552773.168968"] [ref "o0,12o0,12v42,12"]
ModSecurity: Warning. Matched "Operator `PmFromFile' with parameter `unix-shell.data' against variable `ARGS:s' (Value: `/bin/bash' ) [file "/etc/nginx/owasp-crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf"] [line "596"] [id "932160"] [rev ""] [msg "Remote Command Execution: Unix Shell Code Found"] [data "Matched Data: bin/bash found within ARGS:s: /bin/bash"] [severity "2"] [ver "OWASP_CRS/4.6.0-dev"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-shell"] [tag "platform-unix"] [tag "attack-rce"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/88"] [tag "PCI/6.5.2"] [hostname "10.3.0.4"] [uri "/index.php"] [unique_id "172480552773.168968"] [ref "o1,8v17,9t:cmdLine,t:normalizePath"]
ModSecurity: Access denied with code 403 (phase 2). Matched "Operator `Ge' with parameter `5' against variable `TX:BLOCKING_INBOUND_ANOMALY_SCORE' (Value: `8' ) [file "/etc/nginx/owasp-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "222"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 8)"] [data ""] [severity "0"] [ver "OWASP_CRS/4.6.0-dev"] [maturity "0"] [accuracy "0"] [tag "anomaly-evaluation"] [tag "OWASP_CRS"] [hostname "10.3.0.4"] [uri "/index.php"] [unique_id "172480552773.168968"] [ref ""]
相关的 NGINX 錯誤消息,可以查看 error 日誌。
sudo tail -f /var/log/nginx/error.log
2024/08/28 00:38:47 [error] 30724#30724: *12 [client your_client_ip] ModSecurity: Access denied with code 403 (phase 2). Matched "Operator `Ge' with parameter `5' against variable `TX:BLOCKING_INBOUND_ANOMALY_SCORE' (Value: `8' ) [file "/etc/nginx/owasp-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "222"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 8)"] [data ""] [severity "0"] [ver "OWASP_CRS/4.6.0-dev"] [maturity "0"] [accuracy "0"] [tag "anomaly-evaluation"] [tag "OWASP_CRS"] [hostname "10.3.0.4"] [uri "/index.php"] [unique_id "172480552773.168968"] [ref ""], client: your_client_ip, server: _, request: "GET /index.php?s=/bin/bash HTTP/1.1", host: "23.97.66.120"
NGINX 版本泄漏
我們仍然泄漏了 NGINX 的版本,暴露這些消息可以帮助攻擊者识别漏洞并发动有針對性的攻擊。
编辑 NGINX 的配置
sudo nano /etc/nginx/nginx.conf
將下列行新增至 http、server 或 location 部分。
server_tokens off;
檢查配置文件是否正确并重启 NGINX 服务器
sudo nginx -t
sudo systemctl restart nginx
重新訪問 NGINX 的版本号已經被移除了
