Windows-Server-2008

如何在 IIS 上使用 ModSecurity 包含規則集?

  • March 23, 2015

我在 IIS 7.5 / Windows 2008 R2 上使用ModSecurity 2.7.1。我在我的網站的 Web.Staging.config 中引用了我的基本設置 conf 文件,如下所示:

<ModSecurity enabled="true" configFile="*******\ModSecurity.conf" xdt:Transform="Insert"/>

如何包含另一個規則集,例如 OWASP 規則集?

我剛剛在 IIS 中使用 Modsecurity 2.7.1,我通過在基本 conf 文件中使用**Include “c:/yourpath/modsecurity_crs_10_setup.conf”**並使用 Include 來拉入 modsecurity_crs_10_setup.conf 中的 base_rules 來實現這一點文件。

不過只是一個警告,我發現 ModSecurity/IIS 非常不穩定,尤其是使用 OWASP 規則集。它已經殺死了我的 AppPool 很多次。

此外,我遇到了與您相同的問題,即 SecRequestBodyAccess 阻止 ASP.NET 接收 POST 數據。雖然我沒有使用 MVC,所以我懷疑它與 MVC 無關。

引用自:https://serverfault.com/questions/456952