OWASP Core Rule Setというものがあり、mod_securityなんかはこれらのルールを参照してWebApplicationの動作評価を行い、違反するものに対して通知、あるいはブロックを行う動きをする。
備忘録としてひょうにまとめることにした。とは言え、各ルールセットの中身についてはあまり良くわかってない。
ルールセットのファイル 概要
REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf リクエスト検査時の例外設定
REQUEST-901-INITIALIZATION.conf 正常に動作せず
REQUEST-903.9001-DRUPAL-EXCLUSION-RULES.conf Drupal用例外設定
REQUEST-903.9002-WORDPRESS-EXCLUSION-RULES.conf WordPress用例外設定
REQUEST-905-COMMON-EXCEPTIONS.conf 一般的な例外
REQUEST-910-IP-REPUTATION.conf IPレピュテーション
REQUEST-911-METHOD-ENFORCEMENT.conf メソッドの強制
REQUEST-912-DOS-PROTECTION.conf DoS保護
REQUEST-913-SCANNER-DETECTION.conf スキャナー(ボットなど)の検出
REQUEST-920-PROTOCOL-ENFORCEMENT.conf プロトコル強制
REQUEST-921-PROTOCOL-ATTACK.conf プロトコル攻撃の検知
REQUEST-930-APPLICATION-ATTACK-LFI.conf リンクフラグメンテーション攻撃
REQUEST-931-APPLICATION-ATTACK-RFI.conf リモートファイルインクルード攻撃
REQUEST-932-APPLICATION-ATTACK-RCE.conf 継続審査要求を使用する攻撃
REQUEST-933-APPLICATION-ATTACK-PHP.conf PHPに対する攻撃
REQUEST-941-APPLICATION-ATTACK-XSS.conf クロスサイトスクリプティング攻撃
REQUEST-942-APPLICATION-ATTACK-SQLI.conf SQLインジェクション攻撃
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf セッション固定攻撃
REQUEST-949-BLOCKING-EVALUATION.conf リクエスト時におけるブロッキング評価
RESPONSE-950-DATA-LEAKAGES.conf データ漏洩
RESPONSE-951-DATA-LEAKAGES-SQL.conf SQLによるデータ漏洩
RESPONSE-952-DATA-LEAKAGES-JAVA.conf JAVAによるデータ漏洩
RESPONSE-953-DATA-LEAKAGES-PHP.conf PHPによるデータ漏洩
RESPONSE-954-DATA-LEAKAGES-IIS.conf IISによるデータ漏洩
RESPONSE-959-BLOCKING-EVALUATION.conf レスポンス時におけるブロッキング評価
RESPONSE-980-CORRELATION.conf 脆弱性の相関
RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf レスポンス時における例外設定
crawlers-user-agents.data
iis-errors.data
java-code-leakages.data
java-errors.data
lfi-os-files.data
php-config-directives.data
php-errors.data
php-function-names-933150.data
php-function-names-933151.data
php-variables.data
restricted-files.data
scanners-headers.data
scanners-urls.data
scanners-user-agents.data
scripting-user-agents.data
sql-errors.data
sql-function-names.data
unix-shell.data
windows-powershell-commands.data 各ルールで検査する際に参照されるデータ群
基本的にはパターンマッチングの色が濃いんだけど、このルールはGithubで公開されていて、日々更新が加えられているみたい。Stableとしては、最新は3.0で、開発中のバージョンがどうやら3.2らしい。
https://github.com/SpiderLabs/owasp-modsecurity-crs
詳細については、上記URLをたどってみると良いと思う。
記事の表示…
using WordPress and
Comments are closed