Apache-2.2

來自同一 IP 的多個 POST SQL 注入

  • August 31, 2013

最近我檢查了我的 Apache domlog 並註意到以下攻擊:

POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...

這是 SQL 注入的明顯嘗試。這繼續從同一個 IP 發生大約 3000 次。現在我可以將此 IP 列入黑名單,但是否有一些更好的規則可以應用以防止此類事情發生在伺服器端?

此伺服器執行 CentOS 6.4

社區,modsecurity中包含的基本核心規則集將根據字元串(例如是否包含 select 和 union 和 from)或根據分數或頻率等檢測和阻止這些請求。取決於您要如何配置它。

範例文件:https ://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf

引用自:https://serverfault.com/questions/535261