WindowsにModSecurityをインストールして、Coldfusion/RailoのWebサイトを保護しています。 MSIをダウンロードしてインストールしましたが、それが動作していることを確認するためにテストしたときにSQLインジェクションをブロックしていないようです。Windows用OWASPでModSecurityをインストールする
私の質問は、誰でもWindowsにインストールするためのステップバイステップの方法を知っていますか?私は細部について多くの情報を見つけることができませんが、それをLinuxにインストールする方法に関する多くの情報源を発見しました。
私はWindowsインストールページの下でIvan RisticによってModSecurityハンドブックを見ましたが、それほど詳細は分かりません。
ありがとうございます。あなたが<system.webServer>セクションに以下の構成要素を追加してweb.configファイルにModSecurityはを有効にする必要があり
:
<ModSecurity enabled="true"
configFile="c:\inetpub\wwwroot\owasp_crs\modsecurity_iis.conf" />
はまた、箱から出して、ルールエンジンは、「検出モード」で動作します(とアプリケーションのイベントログに問題のリクエストを記録します)、誤ったポジティブのライブサイトを混乱させないようにします。
:あなたはこの設定を見つけることができますSecRuleEngine On
に
SecRuleEngine DetectionOnly
:あなたからSecRuleEngineディレクティブを変更する必要がありModSecurityのは、このようななど、閉塞否定としての行動をとることができるように
C:\inetpub\wwwroot\owasp_crs\modsecurity.conf
このファイルを編集する前に、読み取り専用attrを削除する必要がありますibute。エディタも管理者として実行する必要があります。
それは働いた!ありがとうございました。 – user1709730
@ user1709730よろしく! – Kev
これはコードに関連する質問ではありませんので、おそらくスーパーユーザ(http://superuser.com/about) –
@AdamCameronにいる必要があります。これはサーバー設定の質問によく似ています。スーパーユーザはこのために間違った場所になります。 – Kev
ええ、たぶんServerFault(http://serverfault.com/about)より良い一致があります。いずれにしても、ここには本当に適切ではない点があります。 –