我们如何使用Nginx ModSecurity模块控制对Web应用程序的恶意调用?
有很多商业软件(Akamai,Cloudflare等)可以控制恶意电话/攻击(XSS,注入,DDOS等)。虽然,我们可以将modsecurity与nginx一起使用吗?如何在LUA中编写自定义规则,以避免我的Web应用程序重大漏洞。我可以为此获得一些指导吗?是否有遵循的OpenSOURCE模板?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
modsecurity核心规则集在此处值班的开发人员。首先,modsecurity规则是用“ seclang”编写的,seclang是一种特定于域的语言,用于表达ModSecurity规则和逻辑。也可以编写LUA脚本以提供极为自定义的行为,但实际上这是很少需要的。
如果您想从一组重要的ModSecurity WAF规则开始,以保护Web应用程序,请查看核心规则集(CRS),可以在 coreruleset.org 。 CRS是事实上的一套免费和开源WAF/MODSECURITY规则,它由一些非常大的WAF供应商和服务提供商。
有很多很棒的资源可帮助您开始使用Nginx + modsecurity。我将在这里运行一些:
ModSecurity Core Rule Set Developer on Duty here. First of all, ModSecurity rules are written in "SecLang", a domain-specific language used to express ModSecurity rules and logic. It is also possible to write Lua scripts to provide extremely custom behaviour, but in practice this is very rarely necessary.
If you want to start with a great set of ModSecurity WAF rules to protect web applications, take a look at the Core Rule Set (CRS), which can be found at coreruleset.org. CRS is the de facto set of free and open-source WAF/ModSecurity rules, and it's used by some very big WAF vendors and service providers.
There are lots of great resources available to help get you started with Nginx + ModSecurity. I'll run few some of them here: