Cette page contient des filtres d’entrée supplémentaires développés par Approach pour ModSecurity. Ils visent soit à stopper certaines techniques d’évasion, soit à ajouter des fonctionnalités avancées pour détecter les attaques qui contournent les fonctions standard de ModSecurity.
Depuis 2003, nous développons des fonctionnalités supplémentaires pour ModSecurity afin de protéger nos clients dans des environnements critiques. De temps en temps, nous publions certaines d’entre elles en Open Source pour la communauté.
Plusieurs de nos modules ont été inclus, à partir de 2011, dans le projet principal ModSecurity, après avoir été utilisés par nos clients pendant des années :
- sqlHexDecode
- normalizeSql
- cmdline
Comme nous maintenons pour nos clients de nombreuses autres transformations et opérateurs pour les protéger contre les attaques avancées, vous pouvez vous attendre à d’autres extensions à l’avenir …
Remarque importante : Ces modules sont utilisés dans notre cadre de gestion hautement sécurisé pour ModSecurity, ce qui permet d’utiliser ModSecurity pour gérer facilement des centaines d’applications et de mettre en œuvre une véritable méthodologie de refus par défaut. Mais ces modules ne sont pas une solution définitive et, pour protéger totalement nos clients, nous avons ajouté d’autres règles spécifiques: pour plus d’informations sur notre expertise et notre méthodologie, visitez notre page WAF.
Nous continuerons à collaborer activement avec les équipes de développement de ModSecurity, afin que nos extensions Open Source puissent être incluses à l’avenir dans le projet principal de ModSecurity, comme l’ont été les autres dans le passé.
bash
Ce filtre est destiné à normaliser les chaînes de la ligne de commande bash, afin d’empêcher les techniques d’évasion.
Les commandes de l’interpréteur de commandes bash d’Unix/Linux peuvent être échappées par différents moyens, comme par exemple :
- rm \-rf
- r »m -rf
- « r « m -rf
- rm[tab] »-« rf
- rm$1 -$2r$@f
- …
Ce filtre évite ce problème en supprimant/remplaçant la plupart des modèles d’évasion. Notez que certains modèles d’évasion ne peuvent pas être supprimés par cette seule transformation et nous avons ajouté plusieurs règles spécifiques (qui ne font pas partie des règles de base de ModSecurity) pour protéger totalement nos clients.
Utilisation:
t:bash
Ex : SecRule ARGS « \bnmap\b » « phase:2,t:none,t:bash,deny »
Installation
Ajoutez la directive suivante à httpd.conf :
LoadModule approach_bash_module modules/approach_bash.so
Clause de non-responsabilité
Bien que ces extensions soient utilisées en production dans nos locaux, dans notre centre d’hébergement et chez de nombreux clients critiques, elles sont fournies telles quelles par Approach Belgium, sans aucune garantie ni support. Nous ne publions que le code source, mais les binaires sont disponibles pour les clients.
