KENSEI IT BLOG

룰 활성화SecRuleEngine On | Off | DetectionOnly ModSecurity 기능을 활성화(enable) 시킨다. On : ModSecurity 기능 활성화 Off : ModSecurity 기능 비활성화 DetectionOnly : 활성화는 하지만 차단하지 않고 탐지만 한다. 감사로그 감사 로깅에 대한 설정을 구성한다. On : 모든 트랜젝션 로깅 Off : 모든 트랜젝션 로깅하지 않음 RelevantOnly : Error 또는, Warning 의 트랜젝션, 그리고 SecAuditLogRelevantStatus 에 정의된 상태코드와 일치하는트랜젝션만 로깅 감사로그 경로SecAuditLog logs/modsec_audit.log감사 로그 파일의 경로를 정의한다. 예) SecAudit..

해당 도메인으로 바로 아래 룰 SKIP 할때 SecRule REQUEST_URI "http://www.xxx.com" " pass, skip:1, nolog " skip 뒤에 숫자를 명시함으로써 이 룰 밑으로 해서 몇까지 action을 하겠다는 의미인듯 함 asd란 문자열이 검색되면 허용 패킷을 바로 받아들임 밑에 룰 보지 않고 ACCEPT 하겠다는 의미인듯 함 SecRule REQUEST_URI "\ASD" "allow, MSG:'Allow TEST', ID:'100100100'" asd란 문자열이 검색되면 허용 패킷을 PASS 이것은 iptables에 RETURN과 비슷한 의미인듯 한데 이룰은 무시하고 아래부터 다시 적용 SecRule REQUEST_URI "\ASD" "pass, MSG:'Pass ..

운영방식 Apache에 모듈형태로 운용 Apache_proxy로 여러 웹 사이트들의 역프록시 형태로 운용 주요기능 요청(request) 필터링 클라이언트로부터 요청이 들어올 때, 웹서버 또는 다른 모듈들이 처리하기 전에 ModSecurity가 요청 내용을 분석하여 필터링한다. 우회 방지 기술 경로와 파라미터를 분석하기 전에 정규화시켜 우회 공격을 차단한다. 즉, “//”, “\/”, “.”, “%00” 등 우회 공격용 스트링을 제거하고, 인코딩된 URL을 디코딩한다. HTTP 프로토콜 이해엔진이 HTTP 프로토콜을 이해하기 때문에 전문적이고 정밀한 필터링을 수행할 수 있다. POST 페이로드(payload) 분석 GET 방식 뿐만 아니라 POST 메소드를 사용해서 전송되는 컨텐츠도 분석 가능하다. 감사 ..

Mod_security 설치 설치전 체크 mod_unique_id 인스톨되었는지 확인 libxml2 최신버전 인스톨되었는지 확인 lua ?? 설치전 필요한 패키지 설치 cd /usr/local/src/APM/httpd-2.2.9/modules/metadata - /usr/local/apache/bin/apxs -cia mod_unique_id.c vim /usr/local/apache/conf/httpd.conf - LoadModule unique_id_module modules/mod_unique_id.so 이게 추가 되어 있다면 - LoadFile /usr/lib/libxml2.so 열 추가해준다 아래 패키지들이 필요하다던데? libxml2 lua pcre pcre-devel apr* yum -y i..