GOOGLE ADS

sábado, 23 de abril de 2022

¿Cómo podemos controlar las llamadas maliciosas a una aplicación web con el módulo modsecurity de Nginx?

Hay mucho software comercial (Akamai, Cloudflare, etc.) para controlar las llamadas/ataques maliciosos (XSS, inyección, DDOS, etc.). Aunque, ¿podemos usar ModSecurity con Nginx? Cómo escribir reglas personalizadas en Lua para evitar vulnerabilidades importantes para mi aplicación web. ¿Puedo obtener alguna orientación sobre esto? ¿Hay alguna plantilla de código abierto a seguir?


Solución del problema

Desarrollador de ModSecurity Core Rule Set en turno aquí. En primer lugar, las reglas de ModSecurity están escritas en "SecLang", un lenguaje específico de dominio que se usa para expresar las reglas y la lógica de ModSecurity. También es posible escribir secuencias de comandos de Lua para proporcionar un comportamiento extremadamente personalizado, pero en la práctica esto rara vez es necesario.

Si desea comenzar con un excelente conjunto de reglas ModSecurity WAF para proteger las aplicaciones web, eche un vistazo al Conjunto de reglas básicas (CRS), que se puede encontrar en coreruleset.org. CRS es el conjunto de facto de reglas de WAF/ModSecurity gratuitas y de código abierto, y lo utilizan algunos proveedores de servicios y proveedores de WAF muy grandes.

Hay muchos recursos excelentes disponibles para ayudarlo a comenzar con Nginx + ModSecurity. Voy a ejecutar algunos de ellos aquí:


  • Imágenes de Docker prefabricadas de Nginx + ModSecurity, así como Apache + ModSecurity ( https://github.com/coreruleset/modsecurity-docker )

  • Imágenes prefabricadas de Docker de Nginx + ModSecurity + Core Rule Set (CRS), el conjunto de reglas WAF gratuito y de código abierto de facto ( https://github.com/coreruleset/modsecurity-crs-docker )

  • Serie de tutoriales de Christian Folini en netnea sobre cómo crear su propia configuración de Nginx + ModSecurity desde cero ( https://www.netnea.com/cms/nginx-modsecurity-tutorials/ )

  • Manual de referencia de ModSecurity (v3) ( https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v3.x%29 )

  • El Manual de ModSecurity de Feisty Duck, que vale cada centavo si va a utilizar ModSecurity para aplicaciones del mundo real ( https://www.feistyduck.com/books/modsecurity-handbook/ )

  • La documentación oficial del conjunto de reglas básicas, para obtener información específica de CRS ( https://coreruleset.org/docs/ )

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Regla de Firestore para acceder a la generación de subcolección Permisos faltantes o insuficientes

Tengo problemas con las reglas de Firestore para permitir el acceso a algunos recursos en una subcolección. Tengo algunos requests document...