-- 作者:iisutm3
-- 发布时间:7/15/2009 11:31:00 AM
-- web安全-modsecurity规则分析
web安全-modsecurity规则分析 原文: http://www.iisutm.com/ modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。 这两天分析了一下这两个规则集,初步整理如下。 规则来源及版本: getroot免费规则: http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz modsecurity core rule: http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz 分析采用缺省规则进行,缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则)5373条, modsecurity有效规则126条。 分析包括参数(Variables)统计、变换函数(Transformation functions)统计和规则关联关系统计(chian,skip)。参数统计是统计出现次数,一条有效规则中可能出现几次,比如ARGS,一条规则可能出现多次,出现几次统计几次。变换函数一条规则中只只出现一次,因此和规则条数统计一致。关联关系统计是统计chain,skip,skipafter的次数,反应规则之间相互联系的统计。 统计结果如下: getroot参数出现次数及排名: 7959 ARGS 3647 REQUEST_URI 313 REQUEST_BODY 250 url 237 REQUEST_HEADERS 199 params 136 link 96 Referer 95 User-Agent 86 id 79 team 77 redirect 76 comment 73 website 73 return 73 referrer 72 referer 71 ref 71 body 71 helpbox 71 ureferrer 71 refertoyouby 70 bg_image 70 imageFile 70 media_gallery 70 outbound 70 product 70 oaparams 70 loc 70 out 70 filecontent 70 images 69 redirect_to 69 ajaxurl 69 base_url 69 helpurl 69 backurl 69 serverurl 68 refer 68 siteurl 68 introtext 68 Post 68 resource 68 url2send 68 basehref 67 userpicpersonal 67 fck_body 67 attach-url 66 last_msg 66 referredby 66 stories_cat 66 fulltext 66 sUrl 66 thelink 66 HOMEPAGE_URL 66 texty 66 view 66 ATTACHMENTS_URL 66 resource_box 66 fck_brief 66 comments_commentFind 66 altTag 66 pay_list_type 66 areaContent2 66 FULL_URL 66 linkdescr 66 website_link 66 _wp_original_http_referer 66 products_image 66 inc 66 oldmsg 66 templatePath 65 request_url 64 blog_url 64 x_receipt_link_url 64 lk_url 64 clickurl 64 return_link_url 64 config_helpurl 64 install_url getroot规则变换函数及排名: 262 urlDecode 262 urlDecodeUni 181 lowercase 170 compressWhitespace 135 htmlEntityDecode 110 replaceNulls 106 normalisePath 100 hexDecod 100 base64Decode 21 replaceComments 1 none 1 length getroot规则关联关系次数统计: 1649 chain modsecurity变量出现次数统计及排名: 68 REQUEST_HEADERS 30 XML 29 REQUEST_FILENAME 29 ARGS 22 RESPONSE_BODY 22 ARGS_NAMES 21 Referer 8 User-Agent 6 REQUEST_METHOD 5 REQUEST_HEADERS_NAMES 5 REQUEST_HEADERS 5 Content-Length 4 RESPONSE_STATUS 3 REQUEST_COOKIES 3 X-OS-Prefs 3 Host 3 REQUEST_COOKIES_NAMES 3 REQUEST_LINE 3 REQUEST_URI 3 Cookie 2 Content-Type 2 Transfer-Encoding 2 &GLOBAL 2 REMOTE_ADDR 2 Accept 2 Content-Encoding 2 via 2 REQUEST_BODY 2 REQUEST_PROTOCOL modsecurity规则变换函数出现次数及排名: 123 none 62 lowercase 47 htmlEntityDecode 31 urlDecode 30 urlDecodeUni 24 compressWhitespace 16 replaceComments 2 length modsecurity规则关联关系统计次数及排名: 19 chain 13 skip
|