WAF★ModSecurityのCRSルールファイル

ModSecurityには予めいくつかのルールファイルが存在します。それがOWASPファウンデーションによって作成されたOWASP ModSecurity Core Rule Set (CRS)です。
でも中身がよくわからないので、軽くのぞいてみたいと思います。
- 1. ModSecurity Core Rule Set (CRS)
- 2. CRS一覧
- 2.1. dataファイル
- 2.2. confファイル
- 2.2.1. modsecurity_crs_20_protocol_violations.conf
- 2.2.2. modsecurity_crs_21_protocol_anomalies.conf
- 2.2.3. modsecurity_crs_23_request_limits.conf
- 2.2.4. modsecurity_crs_30_http_policy.conf
- 2.2.5. modsecurity_crs_35_bad_robots.conf
- 2.2.6. modsecurity_crs_40_generic_attacks.conf
- 2.2.7. modsecurity_crs_41_sql_injection_attacks.conf
- 2.2.8. modsecurity_crs_41_xss_attacks.conf
- 2.2.9. modsecurity_crs_42_tight_security.conf
- 2.2.10. modsecurity_crs_45_trojans.conf
- 2.2.11. modsecurity_crs_47_common_exceptions.conf
- 2.2.12. modsecurity_crs_48_local_exceptions.conf.example
- 2.2.13. modsecurity_crs_49_inbound_blocking.conf
- 2.2.14. modsecurity_crs_50_outbound.conf
- 2.2.15. modsecurity_crs_59_outbound_blocking.conf
- 2.2.16. modsecurity_crs_60_correlation.conf
ModSecurity Core Rule Set (CRS)
ファイルは二種類あって、dataファイルとconfファイルです。dataファイルは各種パラメータが記載されてあり、confファイルは設定が記載されてあります。
またファイルの保管場所は次のフォルダです。
- /usr/lib/modsecurity.d/base_rules/
CRS一覧
dataファイル
modsecurity_35_bad_robots.data
悪意のあるロボットの一覧。
modsecurity_35_scanners.data
悪意のあるツールになり得るツール一覧。
modsecurity_40_generic_attacks.data
攻撃でよく用いられる用語一覧。
modsecurity_50_outbound.data
ネットワークに流れるアウトバウンドの一覧。
modsecurity_50_outbound_malware.data
マルウェアの一覧。
confファイル
modsecurity_crs_20_protocol_violations.conf
URIやHTTPヘッダーなどプロトコルの整合性違反を検知する。
modsecurity_crs_21_protocol_anomalies.conf
HostヘッダーがIPアドレスであったりその他のヘッダーパラメータが空であったりなどプロトコル異常を検知する。
modsecurity_crs_23_request_limits.conf
各種パラメータの上限(ファイルサイズ、URLパラメータの数・長さ)を検知する。
modsecurity_crs_30_http_policy.conf
ファイル拡張子、HTTPヘッダー、プロトコルバージョンなどのポリシー違反を検知する。
modsecurity_crs_35_bad_robots.conf
ランダムに攻撃してくるロボットなどを検知する。
modsecurity_crs_40_generic_attacks.conf
インジェクション(SQLインジェクション以外)攻撃やHTTPリクエストスマグリングなどのよく使われる攻撃を検知する。
modsecurity_crs_41_sql_injection_attacks.conf
SQLインジェクション攻撃を検知する。
modsecurity_crs_41_xss_attacks.conf
クロスサイトスクリプティングを検知する。
modsecurity_crs_42_tight_security.conf
ディレクトリトラバーサル攻撃を検知する。
modsecurity_crs_45_trojans.conf
トロイの木馬型マルウェアを検知する。
modsecurity_crs_47_common_exceptions.conf
下記の例外の検知をする。
- Apache SSl pinger
- Apache internal dummy connection
- Adobe Flash Player
modsecurity_crs_48_local_exceptions.conf.example
(未使用)例外ルール作成用。
modsecurity_crs_49_inbound_blocking.conf
アノマリースコア、またはOSVDB(Open Source Vulnerability Database)オープンソース脆弱性データベースに基づいて警告やブロックを行う。
modsecurity_crs_50_outbound.conf
漏洩に関する検知を行う。
modsecurity_crs_59_outbound_blocking.conf
アウトバウンドデータの漏洩を検知する。
modsecurity_crs_60_correlation.conf
Correlated Attack(相関攻撃)に対するを検知を行う。