Deze pagina bevat aanvullende invoerfilters ontwikkeld door Approach voor ModSecurity. Deze zijn gericht op het stoppen van sommige ontwijkingstechnieken, of om geavanceerde functionaliteiten toe te voegen om aanvallen te detecteren die de standaardfuncties van ModSecurity omzeilen.
Sinds 2003 ontwikkelen we aanvullende functionaliteiten voor ModSecurity om onze klanten in kritieke omgevingen te beschermen. Van tijd tot tijd publiceren we er een aantal als Open Source aan de gemeenschap.
Verschillende van onze modules zijn vanaf 2011 opgenomen in het kernproject ModSecurity, nadat ze jarenlang door onze klanten zijn gebruikt:
- sqlHexDecode
- normaliseerSql
- cmdline
Omdat we voor onze klanten veel andere transformaties en operators onderhouden om ze te beschermen tegen geavanceerde aanvallen, kun je in de toekomst nog andere uitbreidingen verwachten …
Belangrijke opmerking: Deze modules worden gebruikt in ons zeer veilige beheerframework voor ModSecurity dat het mogelijk maakt om ModSecurity te gebruiken voor het eenvoudig beheren van honderden applicaties en het implementeren van een echte default-deny methodologie. Maar deze modules zijn geen definitieve oplossing en, om onze klanten volledig te beschermen, hebben we andere specifieke regels toegevoegd: voor meer informatie over onze expertise en methodologie, bezoek onze WAF pagina.
We zullen actief blijven samenwerken met de ontwikkelingsteams van ModSecurity, zodat onze Open Source uitbreidingen in de toekomst kunnen worden opgenomen in het kernproject van ModSecurity, net als de andere in het verleden.
bash
Deze filter is bedoeld om bash commandoregelstrings te normaliseren, om ontwijkingstechnieken tegen te gaan.
Unix/Linux bash shell commando’s kunnen op verschillende manieren ontsnapt worden, zoals:
- rm \rf
- r”m -rf
- “r”m -rf
- rm[tab]”-“rf
- rm$1 -$2r$@f
- …
Deze filter vermijdt dit probleem door de meeste ontwijkingspatronen te verwijderen/vervangen. Merk op dat sommige ontwijkingspatronen niet alleen door deze transformatie kunnen worden verwijderd en we hebben verschillende specifieke regels toegevoegd (die geen deel uitmaken van de kernregels van ModSecurity) om onze klanten volledig te beschermen.
Gebruik:
t:bash
Ex: SecRule ARGS “\bnmap\b” “phase:2,t:none,t:bash,deny”
Installatie
Voeg de volgende richtlijn toe aan httpd.conf:
LoadModule approach_bash_module modules/approach_bash.so
Disclaimer
Hoewel deze extensies in productie worden gebruikt bij ons, in ons hostingcentrum en op veel locaties van kritische klanten, worden ze gegeven zoals ze zijn door Approach Belgium, zonder garantie of ondersteuning. We publiceren enkel de broncode, maar binaries zijn beschikbaar voor klanten.
