i用modsecurity和Owasp-modsecurity-crs构建了nginx 1.10.3,并用卷发对其进行测试。从NGINX日志中,由于已经通过规则检测到它,因此它可以正常工作,但是客户仍然获得HTTP响应成功,而不是预期的拒绝响应,例如403。
您能帮忙吗?是否需要任何附加配置?
[sib@sib〜] $ curl -h"用户 - 代理:nikto" http://15.116.78.110...欢迎来到nginx!...
nginx error.log:
2017/09/20 20:11:14 [错误] 20545#0:[客户端15.116.79.38] ModSecurity:警告。在request_headers:用户代理匹配" nikto"短语" nikto"。[文件"/etc/nginx/owasp-modsecurity-crs/rules/request-913-scanner-detection.conf"] - 与安全扫描仪关联的代理"] [数据"匹配数据:request_headers中的NIKTO:user-agent:nikto"] [crigital'critical'] [ver" oWASp_crs/3.0.0"]" 9"] [tag" application-multi"] [tag" landing-multi"] [tag" platform-multi"] [tag'tak'taks-reputation-scanner'] [tag'owasp_crs/automation/automation/security_scanner'] [tag tag" WASCTC/WASC-21"] [TAG" OWASP_TOP_10/A7"]
我找到了下面的解决方案:
安装文件说您需要明确加载Nginx的规则文件,因为Nginx本身不使用字母顺序的负载顺序。您使用的是Apache包含形式 *.conf,这导致NGINX在规则触发之前评估异常得分。( -> 949文件在942文件之前加载)。
将它们加载如下,您应该可以:
include owasp-modsecurity-crs/crs-setup.conf
include owasp-modsecurity-crs/rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
...
include owasp-modsecurity-crs/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf