一个过滤HTTP请求的Apache2.x模块(插件)

最近有一个网站发现有跨站漏洞：

http://www.xxxxx.xxxxx.cn/cgi-bin/publish/content_collect?name=&filecontent=&account_user=>'><script>alert('%C9%F8%CD%B8%B2%E2%CA%D4')</script>

 

在地址栏输入该URL，浏览器响应：

“渗透测试”

 

因为系统底层不是我们做的，没有源代码，所以只要找其他方式来堵住这个洞洞。首先想到的就是使用Apache的一些过滤插件，在:

http://modules.apache.org/

网站搜了一下，真发现了一个有用的插件： mod_ifier，插件官方网站是：
http://www.steve.org.uk/Software/mod_ifier/index.html

该插件网站称：

mod_ifier is an Apache2 module which allows you to filter each incoming HTTP request to your webserver - allowing you to drop Referer-spam, exploit attempts, and more.
mod_ifier 是一个允许你过滤每一个访问你的web服务器的HTTP请求的Apache2的模块 - 允许你删除Referer信息，溢出攻击尝试 等等恶意信息。

Using this module you can define a collection of rules which will be processed for each incoming request. If a rule matches then you can respond in several different ways:
使用该模块，你可以定义一系列规则来处理每一个访问进来的请求。如果访问请求符合规则，可以以几种不同的方式来响应请求：

* Return a specific HTTP status code. 
* 返回一个特定的HTTP状态代码

* Redirect the visitor to a different URL 
* 转向到另一个URL

* Execute a local program. 
* 执行一个本地程序

 

 

 

 

 

补充：ModSecurity-2.5.7手册翻译--安装

ModSecurity安装过程包含以下几步：

1、ModSecurity 2.x工作于Apache 2.0.x或者更高版本

2、确认您已经安装了mod_unique_id。
   mod_unique_id是apache的httpd中的一个包

3、服务器中还没有libxml2的话，请安装它的最新版.
   http://xmlsoft.org/downloads.html

4、如果服务中还没有安装Lua，而且你将需要使用的话，请安装5.1.x分支的最新版
   http://www.lua.org/download.html
   注意ModSecurity需要的是动态库，而采用源代码编译时默认得不到这些，所以最好采用二进制发布版本。

5、停止apache的httpd服务

6、解开ModSecurity安装包

7、Unix（或者类Unix）操作系统和Windows上进行不同的构建

Unix
a、运行configure脚本生成Makefile文件，通常不需要设置选项
./configure
更多的定制使用配置选项（使用./configure --help可以得到完整列表），但通常你只需要使用--with-apxs选项指定apache的httpd安装时的apxs的位置即可。
./configure --with-apxs=/path/to/httpd-2.x.y/bin/apxs
b、编译：make
c、可选的测试：make test
注意：这一步还是带有一点点试验性质，如果发现问题，请把构建过程中的所有输出发送到支持列表，大部分常见问题是找不到所需要的头和库文件。
d、可选构建ModSecurity的日志收集器：make mlogc
e、可选安装mlogc：查检发布版本包含在apache2/mlogc-src目录下的INSTALL文件
f、安装ModSecurity模块：make install

Windows(MS VC++ 8)
a、编辑Makefile.win文件，配置apache主目录和二进制目录
b、编译：nmake -f Makefile.win
c、安装ModSecurity模块：nmake -f Makefile.win install
d、拷贝libxml2.dll和lua5.1.dll到apache的二进制目录，当然也可以象下面的操作那样使用LoadFile命令加载那些库文件。

8、编辑apache httpd的主配置文件（通常是httpd.conf）

On UNIX(在Windows上，如果你没有按上述规定拷贝DLL文件话也可以）上你必须在ModSecurity之前加载libxml2和lua5.1，参考如下操作：
LoadFile /usr/lib/libxml2.so
LoadFile /usr/lib/liblua5.1.so

按如下加载ModSecurity
LoadModule security2_modules modules/mod_security2.so

9、配置ModSecurity

10、启动apache httpd

11、到目前为止，你应该已经装好ModSecurity 2.x并且运行它了。

--------------------------------------------------------------------------------
注意：
    如果你是自己编译的apache，那你或许经历了在PCRE上编译ModSecurity的问题，这是因为apache带上了PCRE，但通常PCRE的库文件又是由系统提供的，我希望绝大多数的供应商打包apache发布版本时配置使用外部PCRE的库文件（所以这不应成为问题）
    您想避免使用apache捆绑的PCRE库和ModSecurity使用的是系统提供的库，很简单的方法就是重新编译apach，并使用系统提供的PCRE库（或者你可以下载个最新版本的PCRE编译一下），你也可以在编译的时候使用--with-pcre开关。如果你不能重新编译apache，那么为了获得ModSecurity的编译成功，你还是需要获得捆绑的PCRE头文件（这可以在apache的代码中找到）并修改INCLUDE路径（在上述第7步中做）来指向它（通过ModSecurity的--with-pcre配置选项）。
    你注意，如果你的apache使用的是外部PCRE，那你可以在编译ModSecurity时使用WITH_PCRE_STUDY定义，这将给你的服务器处理正则表达式时有一个轻微的性能提高。


================================
ModSecurity第三方规则下载地址：
http://www.gotroot.com/tiki-index.php?page=mod_security+rules

评论

3 楼 wdmsyf 2009-09-22  

补充一下：

ModSecurity的官网地址：

http://www.modsecurity.org/

2 楼 wdmsyf 2009-09-22  

谢谢1楼的兄弟，看mod_security的介绍，好象是比mod_ifier还好。

BTW: 看来知识是越共享，越丰富啊！

1 楼 魔力猫咪 2009-09-22  

ModSecurity也可以试试。昨天看到的一个开源Web应用防火墙。