Установка ModSecurity с OWASP для Windows

Я пытаюсь установить ModSecurity в Windows, чтобы защитить мои сайты Coldfusion/Railo. Я загрузил MSI и установил его, но, похоже, он не блокировал SQL-инъекцию, когда я тестировал ее, чтобы убедиться, что она работает.Установка ModSecurity с OWASP для Windows

Мой вопрос в том, знает ли кто-нибудь о пошаговом способе его установки в Windows? Я не могу найти много информации с подробностями, но нашел множество источников о том, как установить их в Linux.

Я даже посмотрел справочник ModSecurity от Ivan Ristic на странице установки Windows, и он не дает очень подробных сведений.

Заранее спасибо.

источник

2013-08-29 user1709730

Это не вопрос, связанный с кодом, поэтому, вероятно, должно быть на Super User (http://superuser.com/about) –

@AdamCameron - это больше похоже на вопрос конфигурации сервера. SuperUser был бы неправильным местом для этого. – Kev

Да, возможно, ServerFault (http://serverfault.com/about) будет лучше соответствовать. В любом случае, дело в том, что здесь не подходит? –

Вам необходимо включить ModSecurity в файле web.config, добавив следующий конфигурационный элемент в <system.webServer> секции:

<ModSecurity enabled="true" 
      configFile="c:\inetpub\wwwroot\owasp_crs\modsecurity_iis.conf" />

Кроме того, из коробки, правило двигатель работает только в режиме «обнаружения» (и все еще регистрирует запросы о проблемах в журнале событий приложения), чтобы не нарушать ваши живые сайты с ложными срабатываниями.

Чтобы ModSecurity принять меры, такие как блокирование, отказ и т.д. Вы должны изменить SecRuleEngine директиву от:

SecRuleEngine DetectionOnly

SecRuleEngine On

Вы можете найти эту настройку в:

C:\inetpub\wwwroot\owasp_crs\modsecurity.conf

Перед тем, как отредактировать этот файл, вам необходимо удалить attr ibute. Вам также потребуется запустить редактор как Администратор.

источник

2013-08-29 10:49:49 Kev

Это сработало! Спасибо. – user1709730

@ пользователь1709730 Yay !! – Kev

ответ

Смежные вопросы