مجموعه قوانین اصلی OWASP ModSecurity

تعاریف کلیدی (Glossary)

1. OWASP (Open Web Application Security Project)
   پروژه‌ای غیرانتفاعی که بهبود امنیت نرم‌افزارهای تحت وب را هدف دارد و استانداردها و ابزارهایی برای محافظت ارائه می‌کند.
2. ModSecurity
   یک ماژول امنیتی برای وب سرور Apache (و برخی دیگر) است که می‌تواند درخواست‌های HTTP را بررسی و بر اساس قوانین مشخص، حملات احتمالی را مسدود کند.
3. CRS (Core Rule Set)
   مجموعه قوانین پیش‌فرض ModSecurity که توسط OWASP ارائه شده و برای محافظت از وب‌سایت‌ها در برابر حملات معمول و شناخته‌شده استفاده می‌شود.
4. False Positive (مثبت کاذب)
   زمانی که یک سیستم امنیتی ترافیک قانونی را به اشتباه به‌عنوان حمله تشخیص دهد و مسدود کند.
5. DoS (Denial of Service)
   نوعی حمله که با ارسال حجم بالای ترافیک یا درخواست‌های مخرب، منابع سرور را مصرف کرده و باعث اختلال در دسترسی کاربران قانونی می‌شود.
6. IP Reputation
   بررسی سابقه و اعتبار یک آدرس IP برای تشخیص فعالیت‌های مخرب یا مشکوک.
7. XSS (Cross-Site Scripting)
   حمله‌ای که طی آن مهاجم اسکریپت‌های مخرب را در صفحات وب تزریق می‌کند تا کاربران دیگر یا سرور را تحت تأثیر قرار دهد.
8. SQL Injection
   حمله‌ای که در آن مهاجم دستورات SQL مخرب را به پایگاه داده ارسال می‌کند و به اطلاعات حساس دسترسی پیدا می‌کند.
9. LFI (Local File Inclusion)
   حمله‌ای که در آن فایل‌های محلی سرور توسط مهاجم اجرا یا مشاهده می‌شوند، که معمولاً نباید قابل دسترسی باشند.
10. RFI (Remote File Inclusion)
    حمله‌ای مشابه LFI ولی فایل‌ها از منابع خارجی بارگذاری می‌شوند و می‌توانند کدهای مخرب را اجرا کنند.
11. Session Fixation
    حمله‌ای که مهاجم سعی می‌کند یک شناسه نشست (Session ID) پیش‌بینی‌شده برای کاربر ایجاد کند تا به نشست او دسترسی پیدا کند.
12. Configuration File (فایل پیکربندی)
    فایلی که شامل قوانین و تنظیمات ModSecurity CRS است و به سرور می‌گوید چه ترافیکی را مسدود یا اجازه دهد.

مرور کلی

OWASP ModSecurity CRS (مجموعه قوانین اصلی) مجموعه‌ای از قوانین است که ماژول ModSecurity در Apache می‌تواند از آن برای حفاظت از سرور استفاده کند. این قوانین سرور شما را کاملاً در برابر حملات ایمن نمی‌کنند، اما سطح حفاظتی قابل توجهی برای برنامه‌های وب ارائه می‌دهند.

درباره OWASP

چرا باید از OWASP ModSecurity CRS استفاده کنیم؟

1. محافظت از طراحی ناامن برنامه‌های وب
   قوانین ModSecurity می‌توانند یک لایه حفاظتی برای برنامه‌های وب مانند WordPress، phpBB و سایر برنامه‌ها ایجاد کنند. حتی اگر برنامه‌ای به‌روز نباشد یا توسعه‌دهنده اشتباه امنیتی کرده باشد، ModSecurity می‌تواند حمله را قبل از رسیدن به برنامه مسدود کند.
2. محافظت از سطح سیستم‌عامل
   برخی حملات ممکن است سیستم‌عامل سرور را هدف قرار دهند. به‌عنوان مثال، در سال ۲۰۱۴ یک آسیب‌پذیری در Bash وجود داشت و متخصصان امنیتی قوانینی برای ModSecurity ایجاد کردند تا استفاده از این آسیب‌پذیری از طریق Apache مسدود شود تا زمان انتشار به‌روزرسانی، سرور ایمن بماند.
3. محافظت در برابر ترافیک مخرب عمومی
   برخی تهدیدات ممکن است برنامه یا سرور را به‌طور مستقیم هدف نگیرد، مانند حملات DoS. قوانین ModSecurity می‌توانند تأثیر چنین حملاتی را کاهش دهند.

خطرات

مانند هر مکانیزم مسدودسازی ترافیک، قوانین OWASP ممکن است ترافیک قانونی را مسدود کنند (مثبت کاذب). بنابراین لازم است به‌طور منظم گزارش‌های مسدودسازی را در WHM بررسی کنید (WHM » Home » Security Center » ModSecurity® Tools) تا مطمئن شوید کاربران قانونی تحت تأثیر قرار نمی‌گیرند.

نحوه استفاده از OWASP ModSecurity CRS

1. ماژول ModSecurity را از طریق EasyApache 4 در WHM نصب کنید (WHM » Home » Software » EasyApache 4).
2. سپس بسته ea-modsec2-rules-owasp-crs را نصب کنید:

دستورات نصب:

بعد از فعال‌سازی فایل‌های پیکربندی، قوانین فعال می‌شوند و می‌توانید گزارشات و ترافیک مسدود شده را از طریق ModSecurity Tools مشاهده کنید.

فایل‌های پیکربندی

• فایل‌های پیکربندی شامل قوانین دسته‌بندی شده هستند تا مدیریت آن‌ها راحت‌تر باشد.
• مسیر فایل‌های پکیج OWASP: /etc/apache2/conf.d/modsec_vendor_configs/OWASP3

قوانین مهم OWASP و توضیحات آن‌ها

کیان پور