论坛: 电脑门诊 标题: [web安全]modsecurity规则分析 复制本贴地址    
作者: iisutm [iisutm]    论坛用户   登录
[web安全]modsecurity规则分析
         

原文:  http://www.iisutm.com/
 

modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。
这两天分析了一下这两个规则集,初步整理如下。
规则来源及版本:
getroot免费规则: http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz
modsecurity core rule: http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

分析采用缺省规则进行,缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则)5373条, modsecurity有效规则126条。
分析包括参数(Variables)统计、变换函数(Transformation functions)统计和规则关联关系统计(chian,skip)。参数统计是统计出现次数,一条有效规则中可能出现几次,比如ARGS,一条规则可能出现多次,出现几次统计几次。变换函数一条规则中只只出现一次,因此和规则条数统计一致。关联关系统计是统计chain,skip,skipafter的次数,反应规则之间相互联系的统计。

统计结果如下:

getroot参数出现次数及排名:
7959 ARGS
3647 REQUEST_URI
313 REQUEST_BODY
250 url
237 REQUEST_HEADERS
199 params
136 link
96 Referer
95 User-Agent
86 id
79 team
77 redirect
76 comment
73 website
73 return
73 referrer
72 referer
71 ref
71 body
71 helpbox
71 ureferrer
71 refertoyouby
70 bg_image
70 imageFile
70 media_gallery
70 outbound
70 product
70 oaparams
70 loc
70 out
70 filecontent
70 images
69 redirect_to
69 ajaxurl
69 base_url
69 helpurl
69 backurl
69 serverurl
68 refer
68 siteurl
68 introtext
68 Post
68 resource
68 url2send
68 basehref
67 userpicpersonal
67 fck_body
67 attach-url
66 last_msg
66 referredby
66 stories_cat
66 fulltext
66 sUrl
66 thelink
66 HOMEPAGE_URL
66 texty
66 view
66 ATTACHMENTS_URL
66 resource_box
66 fck_brief
66 comments_commentFind
66 altTag
66 pay_list_type
66 areaContent2
66 FULL_URL
66 linkdescr
66 website_link
66 _wp_original_http_referer
66 products_image
66 inc
66 oldmsg
66 templatePath
65 request_url
64 blog_url
64 x_receipt_link_url
64 lk_url
64 clickurl
64 return_link_url
64 config_helpurl
64 install_url

getroot规则变换函数及排名:
262 urlDecode
262 urlDecodeUni
181 lowercase
170 compressWhitespace
135 htmlEntityDecode
110 replaceNulls
106 normalisePath
100 hexDecod
100 base64Decode
21 replaceComments
1 none
1 length

getroot规则关联关系次数统计:
1649 chain

modsecurity变量出现次数统计及排名:
68 REQUEST_HEADERS
30 XML
29 REQUEST_FILENAME
29 ARGS
22 RESPONSE_BODY
22 ARGS_NAMES
21 Referer
8 User-Agent
6 REQUEST_METHOD
5 REQUEST_HEADERS_NAMES
5 REQUEST_HEADERS
5 Content-Length
4 RESPONSE_STATUS
3 REQUEST_COOKIES
3 X-OS-Prefs
3 Host
3 REQUEST_COOKIES_NAMES
3 REQUEST_LINE
3 REQUEST_URI
3 Cookie
2 Content-Type
2 Transfer-Encoding
2 &GLOBAL
2 REMOTE_ADDR
2 Accept
2 Content-Encoding
2 via
2 REQUEST_BODY
2 REQUEST_PROTOCOL

modsecurity规则变换函数出现次数及排名:
123 none
62 lowercase
47 htmlEntityDecode
31 urlDecode
30 urlDecodeUni
24 compressWhitespace
16 replaceComments
2 length

modsecurity规则关联关系统计次数及排名:
19 chain
13 skip


地主 发表时间: 09-04-04 00:54

论坛: 电脑门诊

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号