mod_security.conf 파일에서 이중 인코딩 공격 차단하기
페이지 정보
본문
파일 백업
설정을 변경하기 전에 원본 파일을 백업해 두는 것이 좋습니다.
cp /etc/httpd/conf.d/mod_security.conf /etc/httpd/conf.d/mod_security.conf.bak
이중 인코딩 탐지 규칙 추가
vi /etc/httpd/conf.d/mod_security.conf
--------------------------------------------------------------------------------------------------------
SecRule REQUEST_URI "@rx (%25)+[0-9a-fA-F]{2}" \
"id:1001,phase:1,deny,status:403,msg:'Double Encoding Attack Detected'"
--------------------------------------------------------------------------------------------------------
⦁ REQUEST_URI: 요청된 URL을 검사합니다.
⦁ 정규식 (%25)+[0-9a-fA-F]{2}:
⦁ %25는 퍼센트 문자 %를 나타냅니다.
⦁ 반복되는 %25 뒤에 16진수 두 자리가 오는 패턴을 탐지합니다.
⦁ deny: 탐지되면 접근을 차단합니다.
⦁ status:403: HTTP 403 상태 코드로 응답합니다.
Apache 재시작
설정 변경을 적용하기 위해 Apache 웹 서버를 재시작합니다.
systemctl restart httpd
설정 적용 확인
ModSecurity가 활성화되었는지 확인합니다.
sudo cat /etc/httpd/conf.d/mod_security.conf | grep 'SecRuleEngine'
출력에 다음과 같은 내용이 있으면 ModSecurity가 활성화된 것입니다.
SecRuleEngine On
설정을 변경하기 전에 원본 파일을 백업해 두는 것이 좋습니다.
cp /etc/httpd/conf.d/mod_security.conf /etc/httpd/conf.d/mod_security.conf.bak
이중 인코딩 탐지 규칙 추가
vi /etc/httpd/conf.d/mod_security.conf
--------------------------------------------------------------------------------------------------------
SecRule REQUEST_URI "@rx (%25)+[0-9a-fA-F]{2}" \
"id:1001,phase:1,deny,status:403,msg:'Double Encoding Attack Detected'"
--------------------------------------------------------------------------------------------------------
⦁ REQUEST_URI: 요청된 URL을 검사합니다.
⦁ 정규식 (%25)+[0-9a-fA-F]{2}:
⦁ %25는 퍼센트 문자 %를 나타냅니다.
⦁ 반복되는 %25 뒤에 16진수 두 자리가 오는 패턴을 탐지합니다.
⦁ deny: 탐지되면 접근을 차단합니다.
⦁ status:403: HTTP 403 상태 코드로 응답합니다.
Apache 재시작
설정 변경을 적용하기 위해 Apache 웹 서버를 재시작합니다.
systemctl restart httpd
설정 적용 확인
ModSecurity가 활성화되었는지 확인합니다.
sudo cat /etc/httpd/conf.d/mod_security.conf | grep 'SecRuleEngine'
출력에 다음과 같은 내용이 있으면 ModSecurity가 활성화된 것입니다.
SecRuleEngine On
- 이전글백업 또는 압축파일 손상 확인 24.12.17
- 다음글HTTP 헤더에 "천안문 광장" 키워드 삽입 24.12.10
댓글목록
등록된 댓글이 없습니다.