ModSecurity规则编写笔记

一、ModSecurity的规则

基本格式

SecRule VARIABLES OPERATOR ACTIONS

SecRule：ModSecurity主要的指令，用于创建安全规则。

VARIABLES ：代表HTTP包中的标识项，规定了安全规则针对的对象。常见的变量包括：ARGS（所有请求参数）、FILES（所有文件名称）等。

OPERATOR：代表操作符，一般用来定义安全规则的匹配条件。常见的操作符包括：@rx(正则表达式）、@streq(字符串相同）、@ipmatch(IP相同）等。

ACTIONS：代表响应动作，一般用来定义数据包被规则命中后的响应动作。常见的动作包括：deny（数据包被拒绝）、pass(允许数据包通过）、id（定义规则的编号）、severity(定义事件严重程度）等。

二、ModeSecurity规则例解

规则1：防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx