apache2安装owasp-modsecurity-src

一、安装靶场

首先先在kali中安装sqli靶场环境用来测试WAF的可用性，然后安装所需要的WAF，安装owasp src规则库，最后启用WAF。

1.检测必备环境是否已经开启

service apache2 start

访问 http://127.0.0.1，显示页面出来，即表示apache启动成功

2.安装sqli-labs

git clone https://github.com/mukkul007/sqli-labs-kali2 sqli-labs

这里注意：kali中自带的PHP版本在7.0以上，无法直接使用一般版本的Sqli-labs，必须用这个版本的才行

3.添加数据量信息

service mysql start

mysql -uroot

登录后，创建新用户名和密码

grant all on dvwa.* to root@localhost identified by '123456';

成功后刷新权限

flush privileges;

然后exit退出数据库

4.配置文件设定

cd /var/www/html/sqli-labs/sql-connections

gedit db-creds.inc

5.启动sqli-labs

http://127.0.0.1/sqli-labs/ 点击setup

开启靶场要注意要提前开启数据库服务和apache2服务

二、安装ModSecurity

1.安装modsecurity-crs

apt-get install modsecurity-crs

安装完之后自己就跑到目录/etc/modsecurity下了，这里应该就是默认的吧

查看目录下的内容

将第二个文件改名

2.在apache2配置文件中安装modsecurity crs规则库

比较长的命令打一下

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs

安装完成后，当前目录下会多出一个owasp-modsecurity-crs目录，这里存放的就是在apache下运行的规则库了，只需要配置规则库，就可以了

owasp crs规则库的内容如下

3.将crs-setup.conf.example改名为crs-setup.conf

4.在rules目录下重命名两个规则库

mv REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

mv RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf