以文本方式查看主题

-  中文XML论坛 - 专业的XML技术讨论区  (http://bbs.xml.org.cn/index.asp)
--  『 XML安全 』  (http://bbs.xml.org.cn/list.asp?boardid=27)
----  web安全-modsecurity规则分析  (http://bbs.xml.org.cn/dispbbs.asp?boardid=27&rootid=&id=76025)


--  作者:iisutm3
--  发布时间:7/15/2009 11:31:00 AM

--  web安全-modsecurity规则分析
web安全-modsecurity规则分析

原文:    http://www.iisutm.com/


modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。
这两天分析了一下这两个规则集,初步整理如下。
规则来源及版本:
getroot免费规则:
http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz
modsecurity core rule:
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz
分析采用缺省规则进行,缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则)5373条, modsecurity有效规则126条。
分析包括参数(Variables)统计、变换函数(Transformation functions)统计和规则关联关系统计(chian,skip)。参数统计是统计出现次数,一条有效规则中可能出现几次,比如ARGS,一条规则可能出现多次,出现几次统计几次。变换函数一条规则中只只出现一次,因此和规则条数统计一致。关联关系统计是统计chain,skip,skipafter的次数,反应规则之间相互联系的统计。

统计结果如下:

getroot参数出现次数及排名:
7959 ARGS
3647 REQUEST_URI
313 REQUEST_BODY
250 url
237 REQUEST_HEADERS
199 params
136 link
96 Referer
95 User-Agent
86 id
79 team
77 redirect
76 comment
73 website
73 return
73 referrer
72 referer
71 ref
71 body
71 helpbox
71 ureferrer
71 refertoyouby
70 bg_image
70 imageFile
70 media_gallery
70 outbound
70 product
70 oaparams
70 loc
70 out
70 filecontent
70 images
69 redirect_to
69 ajaxurl
69 base_url
69 helpurl
69 backurl
69 serverurl
68 refer
68 siteurl
68 introtext
68 Post
68 resource
68 url2send
68 basehref
67 userpicpersonal
67 fck_body
67 attach-url
66 last_msg
66 referredby
66 stories_cat
66 fulltext
66 sUrl
66 thelink
66 HOMEPAGE_URL
66 texty
66 view
66 ATTACHMENTS_URL
66 resource_box
66 fck_brief
66 comments_commentFind
66 altTag
66 pay_list_type
66 areaContent2
66 FULL_URL
66 linkdescr
66 website_link
66 _wp_original_http_referer
66 products_image
66 inc
66 oldmsg
66 templatePath
65 request_url
64 blog_url
64 x_receipt_link_url
64 lk_url
64 clickurl
64 return_link_url
64 config_helpurl
64 install_url

getroot规则变换函数及排名:
262 urlDecode
262 urlDecodeUni
181 lowercase
170 compressWhitespace
135 htmlEntityDecode
110 replaceNulls
106 normalisePath
100 hexDecod
100 base64Decode
21 replaceComments
1 none
1 length

getroot规则关联关系次数统计:
1649 chain

modsecurity变量出现次数统计及排名:
68 REQUEST_HEADERS
30 XML
29 REQUEST_FILENAME
29 ARGS
22 RESPONSE_BODY
22 ARGS_NAMES
21 Referer
8 User-Agent
6 REQUEST_METHOD
5 REQUEST_HEADERS_NAMES
5 REQUEST_HEADERS
5 Content-Length
4 RESPONSE_STATUS
3 REQUEST_COOKIES
3 X-OS-Prefs
3 Host
3 REQUEST_COOKIES_NAMES
3 REQUEST_LINE
3 REQUEST_URI
3 Cookie
2 Content-Type
2 Transfer-Encoding
2 &GLOBAL
2 REMOTE_ADDR
2 Accept
2 Content-Encoding
2 via
2 REQUEST_BODY
2 REQUEST_PROTOCOL

modsecurity规则变换函数出现次数及排名:
123 none
62 lowercase
47 htmlEntityDecode
31 urlDecode
30 urlDecodeUni
24 compressWhitespace
16 replaceComments
2 length

modsecurity规则关联关系统计次数及排名:
19 chain
13 skip



W 3 C h i n a ( since 2003 ) 旗 下 站 点
苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
6,953.125ms