自定义waf规则编写规范文档
ruleid应该与规则中的id对应 并且id的范围在1-899999之间,其中1001为初始规则集,禁止填写,所以应当为不同的domain_uuid设置不同的规则区间
SecRule VARIABLES OPERATOR ACTIONS1
常用的解码条件应该在waf规则中指定
Base64 解码
(tx:base64Decode)URL 解码 (
tx:urlDecode 或 tx:urlDecodeUni)HTML 实体解码 (
tx:htmlEntityDecode): 这个功能可以帮助将 HTML 实体如 < 和 > 转换为对应的符号 < 和 >。二进制解码: 可以直接进行处理
十六进制解码 (
tx:hexDecode)SecRule ARGS|REQUEST_HEADERS "@rx <script>" "id:001,msg: 'XSSAttack',severity:ERROR,deny,status:404"
VARIABLES ARGS:所有请求参数;
REQUEST_HEADERS:请求数据头部。
OPERATOR @rx <script>:如果正则匹配字符串"<script>"成功,则规则执行。
ACTIONS id:001规定该条规则编号为001;
msg: 'XSS Attack’代表记录信息为:XSS Attack;
severity:ERROR表示严重程度为ERROR;
deny表示拒绝所有请求包;
status:404表示服务器响应状态编号为404。
SecRule REMOTE_ADDR "@ipmatch 192.168.1.9" "id:002,phase:1,t:none,
nolog,pass,ctl:ruleEngine=off"
VARIABLES REMOTE_ADDR:远程主机IP
OPERATOR @ipmatch 192.168.1.9:如果请求主机IP地址为192.168.1.9,则规则执行。
ACTIONS id:002规定该条规则编号为002;
phase:1表示规则执行的范围为请求头部;
t:none表示VARIABLES的值不需要转换(t代表transform);
nolog代表不记录日志;pass代表继续下一条规则;
ctl:ruleEngine=off代表关闭拦截模式,所有规则失效。
说明:phase编号规定如下:
Request Headers (1), Request Body (2), Response Headers (3),Response Body (4) and Logging (5).SecRule ARGS:username "@streq admin" chain,deny,id:003
SecRule REMOTE_ADDR "!streq 192.168.1.9"
VARIABLES ARGS:username所有表示请求参数中的用户名信息。
OPERATOR @streq admin表示用户名等于字符串"admin",则执行ACTIONS。
ACTIONS id:003规定该条规则编号为003;
chain表示用户名等于admin的情况下,必须完成第二行规则的匹配(远程主机IP不是192.168.1.9),才能执行下一个动作;
deny表示所有请求包被拒绝。SecRule FILES "!\\.(?i:jpe?g|gif|png|bmp)$" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'upload
no-picture file',id:0000001,phase:2“SecRule FILES "@contains %00" "deny,tag:'WEB_ATTACK/FILEUPLOAD',msg:'filename
has null character',id:0000002,phase:2"修改于 2024-08-13 07:11:00