[Owasp-turkey] SecRULE

Gokan Atmaca linux.gokan at gmail.com
Fri Apr 24 07:51:46 UTC 2015


Ornek bir Header kuralı var. Burada faz 1 gelen header bilgisinide
SecRule belitilenlerin haricinde gelirse "bilinmeyen istek basligi"
ile logla deniyor sanırım ?

SecRule REQUEST_HEADERS_NAMES "[email protected] (?i)^(\
Accept|\
Accept-Charset|\
Accept-Encoding|\
Accept-Language|\
Accept-Ranges|\
Authorization|\
Cache-Control|\
Cookie|\
Cookie2|\
Connection|\
Content-Encoding|\
Content-Language|\
Content-Length|\
Content-Location|\
Content-MD5|\
Content-Type|\
Date|\
Expect|\
From|\
Host|\
If-Match|\
If-Modified-Since|\
If-None-Match|\
If-Range|\
If-Unmodified-Since|\
Keep-Alive|\
Pragma|\
Range|\
Referer|\
TE|\
Trailer|\
Transfer-Encoding|\
UA-CPU|\
User-Agent|\
Via\5
)$" \
"phase:1,t:none,pass,msg:'Unknown request header'"

2015-04-24 10:47 GMT+03:00 Gokan Atmaca <linux.gokan at gmail.com>:
>>https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/experimental_rules/modsecurity_crs_11_brute_force.conf
>
>>Bunu bir inceler misin? Neredeyse söylediğine yakın bir kural seti içeriyor. brute_force_protected_urls >ile çözebiliyor olman lazım.  Belli süre içinde belli sayıda isteği aşınca blokluyor. Biraz editleyerek >kullanabilirsin diye düşünüyorum.
>
>
> Merhaba
>
> Kurali aslinda nasil yazacagimi bilemedim. Aynı github kaynaginda
> soyle bir sey var. Aslında flood suan sadece bir URL yapiyor. Onu
> engeleyebilecegim ornek bir kural verebilirmisiniz ?
>
> Teşekkürler.
>
>
> 2015-04-21 16:56 GMT+03:00 Bunyamin Demir <bunyamindemir at gmail.com>:
>> Merhabalar Gökhan Bey,
>>
>> https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/experimental_rules/modsecurity_crs_11_brute_force.conf
>>
>> Bunu bir inceler misin? Neredeyse söylediğine yakın bir kural seti içeriyor.
>> brute_force_protected_urls ile çözebiliyor olman lazım.  Belli süre içinde
>> belli sayıda isteği aşınca blokluyor. Biraz editleyerek kullanabilirsin diye
>> düşünüyorum.
>>
>> Syg.
>>
>> 21 Nisan 2015 16:50 tarihinde Gokan Atmaca <linux.gokan at gmail.com> yazdı:
>>>
>>> Merhaba
>>>
>>> Sitedemde bazen 5s bazen 10s bir dünyanin farklı ülkelerinden ip
>>> adreslerine sahip crawler sürekli gelip siteyi boşu boşuna meşgul
>>> ediyor. Buna karşın Mod secrurity kurdum ve owasp kurallarini
>>> yerleştirdim. Nikto vs. testlerimde engelledigini gordum. Modsecurity
>>> gayet güzel calisiyor. Gel gelelim iş kendi işim için kural yazmaya
>>> gelince oylece kaldim. Anladıgım kadarıyla her bir durumda bir faz
>>> olarak degerlendiriyor. Benim durumda bunu nasil yapmam gerekir.
>>> Sanırım faz1 engellemek gerekicek. Soyle bir ornek olsa
>>> "x.com/xis/xquery" olsun. Adam buraya defatle geliyor olsun. Bu aynı
>>> URL 5s , 10s bir gelinirse deny etsin istiyorum. Boyle bir SecRule
>>> nasil yazabilirim ?
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>> --
>> Bünyamin Demir
>> OWASP-Turkey Chapter Lead
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>


More information about the Owasp-turkey mailing list