WAF★ModSecurityのCRSルールファイル

2020年5月8日2020年12月15日

ModSecurityには予めいくつかのルールファイルが存在します。それがOWASPファウンデーションによって作成されたOWASP ModSecurity Core Rule Set (CRS)です。

でも中身がよくわからないので、軽くのぞいてみたいと思います。

ModSecurity Core Rule Set (CRS)

ファイルは二種類あって、dataファイルとconfファイルです。dataファイルは各種パラメータが記載されてあり、confファイルは設定が記載されてあります。

またファイルの保管場所は次のフォルダです。

• /usr/lib/modsecurity.d/base_rules/

CRS一覧

dataファイル

modsecurity_35_bad_robots.data

悪意のあるロボットの一覧。

modsecurity_35_scanners.data

悪意のあるツールになり得るツール一覧。

modsecurity_40_generic_attacks.data

攻撃でよく用いられる用語一覧。

modsecurity_50_outbound.data

ネットワークに流れるアウトバウンドの一覧。

modsecurity_50_outbound_malware.data

マルウェアの一覧。

confファイル

modsecurity_crs_20_protocol_violations.conf

URIやHTTPヘッダーなどプロトコルの整合性違反を検知する。

modsecurity_crs_21_protocol_anomalies.conf

HostヘッダーがIPアドレスであったりその他のヘッダーパラメータが空であったりなどプロトコル異常を検知する。

modsecurity_crs_23_request_limits.conf

各種パラメータの上限(ファイルサイズ、URLパラメータの数・長さ)を検知する。

modsecurity_crs_30_http_policy.conf

ファイル拡張子、HTTPヘッダー、プロトコルバージョンなどのポリシー違反を検知する。

modsecurity_crs_35_bad_robots.conf

ランダムに攻撃してくるロボットなどを検知する。

modsecurity_crs_40_generic_attacks.conf

インジェクション(SQLインジェクション以外)攻撃やHTTPリクエストスマグリングなどのよく使われる攻撃を検知する。

modsecurity_crs_41_sql_injection_attacks.conf

SQLインジェクション攻撃を検知する。

modsecurity_crs_41_xss_attacks.conf

クロスサイトスクリプティングを検知する。

modsecurity_crs_42_tight_security.conf

ディレクトリトラバーサル攻撃を検知する。

modsecurity_crs_45_trojans.conf

トロイの木馬型マルウェアを検知する。

modsecurity_crs_47_common_exceptions.conf

下記の例外の検知をする。

• Apache SSl pinger
• Apache internal dummy connection
• Adobe Flash Player

modsecurity_crs_48_local_exceptions.conf.example

(未使用)例外ルール作成用。

modsecurity_crs_49_inbound_blocking.conf

アノマリースコア、またはOSVDB(Open Source Vulnerability Database)オープンソース脆弱性データベースに基づいて警告やブロックを行う。

modsecurity_crs_50_outbound.conf

漏洩に関する検知を行う。

modsecurity_crs_59_outbound_blocking.conf

アウトバウンドデータの漏洩を検知する。

modsecurity_crs_60_correlation.conf

Correlated Attack(相関攻撃)に対するを検知を行う。