OWASP ModSecurity Core Rule Set

https://www.netnea.com/cms/core-rule-set-inventory/

可以看到规则非常细，

整理分析文章：https://yq.aliyun.com/ziliao/5287

1、主要规则文件：

REQUEST-910-IP-REPUTATION.conf（可疑IP匹配)

REQUEST-912-DOS-PROTECTION.conf（DDOS攻击）

REQUEST-913-SCANNER-DETECTION.conf（扫描器检测）

REQUEST-920-PROTOCOL-ENFORCEMENT.conf（HTTP协议规范相关规则）

REQUEST-921-PROTOCOL-ATTACK.conf（协议攻击）

举例：HTTP Header Injection Attack、HTTP参数污染

REQUEST-930-APPLICATION-ATTACK-LFI.conf（应用攻击-路径遍历）

REQUEST-931-APPLICATION-ATTACK-RFI.conf（远程文件包含）

REQUEST-932-APPLICATION-ATTACK-RCE.conf（远程命令执行）

REQUEST-933-APPLICATION-ATTACK-PHP.conf（PHP注入攻击）

REQUEST-941-APPLICATION-ATTACK-XSS.conf（XSS）

REQUEST-942-APPLICATION-ATTACK-SQLI.conf（SQL注入）

REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION.conf（会话固定）

REQUEST-949-BLOCKING-EVALUATION.conf（）

RESPONSE-950-DATA-LEAKAGES.conf（信息泄露）

RESPONSE-951-DATA-LEAKAGES-SQL.conf（SQL信息泄露）

RESPONSE-952-DATA-LEAKAGES-JAVA.conf（JAVA源代码泄露）

RESPONSE-953-DATA-LEAKAGES-PHP.conf（PHP信息泄露）

RESPONSE-954-DATA-LEAKAGES-IIS.conf（IIS信息泄露）

2、规则主体SecRule备注（如下内容来源于ModSecurity手册）：

SecRule是ModSecurity主要的指令，用于分析数据并根据结果执行动作，通常规则的格式如下：

SecRule VARIABLES OPERATOR [ACTIONS]

第三部分可选的，ACTIONS，描述当操作进行成功的匹配一个变量时具体怎么做。

规则中的动作  第三个参数，ACTIONS可以忽略，因为有个辅助功能，即指定的默认动作列表。如果这个参数没有被省略，当规则匹配时，这个参数指定的动作会联合默认的动作列表创建一个实际的动作列表被执行。

第二部分，OPERATOR描述如何进行检查，关于操作的规则具体如下：

一种很简单的情况下，你可能会用一个正则表达式作为规则的第二个参数，我们已经在上面举过这样的例子，如果你这样做，ModSecurity假设你会使用rx（正则表达式）操作符，你也可以很明确的通过使用@来指定你想要的操作符，紧跟之后的是操作符的名字，在规则第二个参数的开始。 

SecRule ARGS "@rx dirty" 

第一部分，VARIABLES描述哪个变量被检查

3、规则实例

# -=[ Detect DB Names ]=-
#
SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "(?i:\b(?:m(?:s(?:ysaccessobjects|ysaces|ysobjects|ysqueries|ysrelationships|ysaccessstorage|ysaccessxml|ysmodules|ysmodules2|db)|aster\.\.sysdatabases|ysql\.db)\b|s(?:ys(?:\.database_name|aux)\b|chema(?:\W*\(|_name\b)|qlite(_temp)?_master\b)|d(?:atabas|b_nam)e\W*\(|information_schema\b|pg_(catalog|toast)\b|northwind\b|tempdb\b))" \
    "phase:request,\
    rev:'3',\
    ver:'OWASP_CRS/3.0.0',\
    maturity:'9',\
    accuracy:'8',\
    capture,\
    t:none,t:urlDecodeUni,\
    ctl:auditLogParts=+E,\
    block,\
    msg:'SQL Injection Attack: Common DB Names Detected',\
    id:942140,\
    logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
    severity:'CRITICAL',\
    tag:'application-multi',\
    tag:'language-multi',\
    tag:'platform-multi',\
    tag:'attack-sqli',\
    tag:'OWASP_CRS/WEB_ATTACK/SQL_INJECTION',\
    tag:'WASCTC/WASC-19',\
    tag:'OWASP_TOP_10/A1',\
    tag:'OWASP_AppSensor/CIE1',\
    tag:'PCI/6.5.2',\
    setvar:'tx.msg=%{rule.msg}',\
    setvar:tx.sql_injection_score=+%{tx.critical_anomaly_score},\
    setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},\
    setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}"