http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/ Для тех, кто работает с Apache Tue, 5 Oct 2010 18:10:25 +0000 http://wordpress.org/?v=1.5.2 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-33693 Tue, 07 Oct 2008 18:51:00 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-33693 А куда это нужно вставлять http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-32524 Wed, 30 Jul 2008 11:32:58 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-32524 Полезная статья! http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-27311 Thu, 31 Jan 2008 10:00:04 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-27311 не Short, а Snort ) http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-6991 Fri, 25 May 2007 17:32:06 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-6991 Замечательно все расписано, главное что по-русски :) http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-6694 Thu, 17 May 2007 10:40:55 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-6694 Замечательная статейка, хотя побаловатся реврайтом можно сверх наголову. К примеру не фильтровать лишнее а только фильтровать нужное, для ресурсов у которых продумана логика легче сделать именно так. Т.е. на уровне rewrite проверять подходит ли входящий поток под условия если ок пропускать если нет - то это потанциальная атака. Т.е в ряде случаем легче описать правильные запросы, чем описать не правильные. Но это как говорится дело техники :) http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-650 Sat, 21 Oct 2006 12:58:38 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-650 Пара замечаний по тексту, за который (особенно Location, сам как-то не сообразил): - если LoadModule mod_rewrite до LoadModule mod_security, то в Location упадёт уже переписанный URL (что логично, но может быть не совсем очевидно, если давно собственных конфигов не видать); - googlebot, помнится, и просто robots.txt слушается, в отличие от отморозков с msn. Правда, последние вроде тоже за ум взялись -- начав рисовать именно для них (гугль-то мы любим ;) правило, не обнаружил в логе зацепок. Спасибо! -- mike@, майнтейнер apache-1.3 в ALT Linux http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-102 Fri, 14 Jul 2006 07:12:35 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-102 вопрос немного не в тему, но спросить хотелось бы... можно ли директивы, а точнее условия из mod_security для Apache использовать в .htaccess для защиты от XSS-скриптинга и червей? Просто хостер не позволяет управление данным модулем через .htaccess... Например я использую в .htaccess: RewriteOptions inherit RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)wget%20(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)system(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)exec(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)tar%20(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)cd%20(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)http://(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)union%20(.*) [OR,NC] RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)%20/tmp(.*) [OR,NC] RewriteCond %{HTTP_COOKIE}% s(.*):%22test1%22%3b RewriteRule ^.*$ http://www.mysite.com/alert.php [NC,F] (список queries указан не полный) В итоге при наличии в строке подозрительных запросов выдается 403 и в лог пишутся данные о запросившем. А в mod_security (http://www.modsecurity.org/) есть к примеру такие фильтры: # WEB-ATTACKS chmod command attempt SecFilter "/bin/chmod" # WEB-ATTACKS chgrp command attempt SecFilter "/chgrp" # WEB-ATTACKS chown command attempt SecFilter "/chown" # WEB-ATTACKS chsh command attempt SecFilter "/usr/bin/chsh" # WEB-ATTACKS tftp command attempt SecFilter "tftp\x20" # WEB-ATTACKS gcc command attempt SecFilter "gcc\x20-o" # WEB-ATTACKS cc command attempt #SecFilter "cc\x20" # WEB-ATTACKS /usr/bin/cpp command attempt SecFilter "/usr/bin/cpp" # WEB-ATTACKS cpp command attempt SecFilter "cpp\x20" # WEB-ATTACKS /usr/bin/g++ command attempt SecFilter "/usr/bin/g\+\+" Вопрос: корректно ли будет перенести queries из фильтров mod_secure в просто mod_rewrite, напрмер: RewriteCond %{REQUEST_URI}?%{QUERY_STRING} ^(.*)/usr/bin/g\+\+(.*) [OR,NC] и будет ли это работать? http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-44 Tue, 30 May 2006 00:36:22 +0000 http://apachedev.ru/2006/02/19/vvedenie-v-mod_security/#comment-44 Спасибо за статью, очень классно написано. Мне понравилось.