新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     >>W3CHINA.ORG讨论区<<     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> Web Architecture,探讨下一代万维网的架构/体系结构。
    [返回] W3CHINA.ORG讨论区 - 语义网·描述逻辑·本体·RDF·OWLW3CHINA.ORG讨论区 - Web新技术讨论『 Web架构 』 → [转帖][web安全]modsecurity规则分析 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 7003 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: [转帖][web安全]modsecurity规则分析 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     iisutm1 帅哥哟,离线,有人找我吗?
      
      
      等级:大一(猛啃高等数学)
      文章:17
      积分:130
      门派:XML.ORG.CN
      注册:2009/3/18

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给iisutm1发送一个短消息 把iisutm1加入好友 查看iisutm1的个人资料 搜索iisutm1在『 Web架构 』 的所有贴子 引用回复这个贴子 回复这个贴子 查看iisutm1的博客楼主
    发贴心情 [转帖][web安全]modsecurity规则分析

    [web安全]modsecurity规则分析
               

    原文:   http://www.iisutm.com/
       

    modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。
    这两天分析了一下这两个规则集,初步整理如下。
    规则来源及版本:
    getroot免费规则:
    http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz
    modsecurity core rule:
    http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

    分析采用缺省规则进行,缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则)5373条, modsecurity有效规则126条。
    分析包括参数(Variables)统计、变换函数(Transformation functions)统计和规则关联关系统计(chian,skip)。参数统计是统计出现次数,一条有效规则中可能出现几次,比如ARGS,一条规则可能出现多次,出现几次统计几次。变换函数一条规则中只只出现一次,因此和规则条数统计一致。关联关系统计是统计chain,skip,skipafter的次数,反应规则之间相互联系的统计。

    统计结果如下:

    getroot参数出现次数及排名:
    7959 ARGS
    3647 REQUEST_URI
    313 REQUEST_BODY
    250 url
    237 REQUEST_HEADERS
    199 params
    136 link
    96 Referer
    95 User-Agent
    86 id
    79 team
    77 redirect
    76 comment
    73 website
    73 return
    73 referrer
    72 referer
    71 ref
    71 body
    71 helpbox
    71 ureferrer
    71 refertoyouby
    70 bg_image
    70 imageFile
    70 media_gallery
    70 outbound
    70 product
    70 oaparams
    70 loc
    70 out
    70 filecontent
    70 images
    69 redirect_to
    69 ajaxurl
    69 base_url
    69 helpurl
    69 backurl
    69 serverurl
    68 refer
    68 siteurl
    68 introtext
    68 Post
    68 resource
    68 url2send
    68 basehref
    67 userpicpersonal
    67 fck_body
    67 attach-url
    66 last_msg
    66 referredby
    66 stories_cat
    66 fulltext
    66 sUrl
    66 thelink
    66 HOMEPAGE_URL
    66 texty
    66 view
    66 ATTACHMENTS_URL
    66 resource_box
    66 fck_brief
    66 comments_commentFind
    66 altTag
    66 pay_list_type
    66 areaContent2
    66 FULL_URL
    66 linkdescr
    66 website_link
    66 _wp_original_http_referer
    66 products_image
    66 inc
    66 oldmsg
    66 templatePath
    65 request_url
    64 blog_url
    64 x_receipt_link_url
    64 lk_url
    64 clickurl
    64 return_link_url
    64 config_helpurl
    64 install_url

    getroot规则变换函数及排名:
    262 urlDecode
    262 urlDecodeUni
    181 lowercase
    170 compressWhitespace
    135 htmlEntityDecode
    110 replaceNulls
    106 normalisePath
    100 hexDecod
    100 base64Decode
    21 replaceComments
    1 none
    1 length

    getroot规则关联关系次数统计:
    1649 chain

    modsecurity变量出现次数统计及排名:
    68 REQUEST_HEADERS
    30 XML
    29 REQUEST_FILENAME
    29 ARGS
    22 RESPONSE_BODY
    22 ARGS_NAMES
    21 Referer
    8 User-Agent
    6 REQUEST_METHOD
    5 REQUEST_HEADERS_NAMES
    5 REQUEST_HEADERS
    5 Content-Length
    4 RESPONSE_STATUS
    3 REQUEST_COOKIES
    3 X-OS-Prefs
    3 Host
    3 REQUEST_COOKIES_NAMES
    3 REQUEST_LINE
    3 REQUEST_URI
    3 Cookie
    2 Content-Type
    2 Transfer-Encoding
    2 &GLOBAL
    2 REMOTE_ADDR
    2 Accept
    2 Content-Encoding
    2 via
    2 REQUEST_BODY
    2 REQUEST_PROTOCOL

    modsecurity规则变换函数出现次数及排名:
    123 none
    62 lowercase
    47 htmlEntityDecode
    31 urlDecode
    30 urlDecodeUni
    24 compressWhitespace
    16 replaceComments
    2 length

    modsecurity规则关联关系统计次数及排名:
    19 chain
    13 skip


       收藏   分享  
    顶(0)
      




    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2009/3/24 15:56:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 Web架构 』 的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/12/27 11:54:25

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    93.750ms