Perfekter Schutz für Web-Apps

Teil 3: Workshop: Mod Security

Auch Cross-Site-Scripting-Attacken kann Mod Security begegnen. Das verhindern Sie mit folgenden Direktiven:

SecFilter "<script"
SecFilter "<.+>"

Um Path-Traversal-Attacks zu begegnen, legen Sie folgenden Filter an:

SecFilter "../"

Regel-Editoren

Das Hantieren mit Mod-Security-Regeln ist leider nicht ganz so leicht, wie es die einfachsten Beispielregeln vermuten lassen. Um auf komplexe Requests zielgenau reagieren zu können, müssen Sie auch entsprechend komplexe Filterregeln anlegen.

Das erfordert ein hohes Maß an Know-how bezüglich der zu schützenden Anwendung und der drohenden Gefahren. Um das Risiko beim Erstellen von fehlerbehafteten Regeln zu minimieren, sollten Sie zu einem Regel-Editor greifen.

Hierfür gibt es inzwischen einige interessante Lösungen. Den bislang besten Eindruck hinterlässt Regel-Editor Remo (). Er unterstützt Sie dabei, die Whitelist-Funktionalität von Mod Security zu erweitern. In der Whitelist sammeln, pflegen und warten Sie gültige Requests.

Um den Editor in Betrieb zu nehmen, laden Sie das aktuelle Paket remo-0.2.0.tar.gz herunter und entpacken es in einen Ordner Ihrer Wahl. Der Start des Editors erfolgt mit der Ausführung des folgenden Befehls im REMO-Ordner: ruby script/server. Um auf die webbasierte Schnittstelle zuzugreifen, verwenden Sie folgende URL im Browser: http://localhost:3000/main/index.

Workshop: Mod Security

© Archiv

Mit dem Web Application Profiler gibt es ein Spezial-Tool, das auch Mod-Security-Regeln erstellen kann.

Bei einer Neuinstallation sind keine Regeln vorhanden. Also müssen Sie sich an das Erstellen Ihrer ersten eigenen Regel machen. Klicken Sie dazu auf das New-request-Icon. Die Regel erzeugt einen Standardeintrag mit der Bezeichnung GET click-to-edit. Mit einem Klick auf diese Bezeichnung editieren Sie diesen und können beispielsweise aus der GET- eine POST-Methode machen.

Bestimmen Sie dann den Anwendungspfad und die gewünschten Parameter. Um die Regel zu erstellen, klicken Sie abschließend auf die Schaltfläche Generate. Die generierte Regeldatei kopieren Sie dann in das Apache-Verzeichnis.

Es empfiehlt sich, die Regeldatei wie folgt in Ihre Apache-Konfiguration einzubinden:

<IfModule mod_security2.c>
Include /etc/apache2/rulefile.conf</IfModule>

Sie müssen nur noch einen Neustart des Apache-Webservers ausführen, um die Regel zu aktivieren.

Mit dem Web Application Profiler () gibt es einen weiteren Editor, der Ihnen beim Erstellen von Mod-Security-Regeln behilflich ist. Dieses Tool dient dazu, ein Profil einer Web-Applikation zu erstellen - und zwar in Form einer XML-basierten Beschreibung.

Der Profiler stellt auch einen Editor zur Verfügung, mit dem sich Profile mittels einer XSLT-Transformation in ein Mod-Security-Regelwerk transformieren lassen. Das Erstellen des Regelwerks auf Basis des Profils ist simpel: Klicken Sie auf das Compile-Icon und bestimmen Sie, wo die Datei gespeichert werden soll.

Mod-Security-Konsole

Neben Mod Security arbeiten die Entwickler an zwei weiteren Projekten: Mod Security Profiler () und Mod-Security-Konsole ().

Mehr zum Thema

Daten im Internet
Online-Backup

Die Online-Datensicherung zu einem Backup- Provider erfährt immer mehr Zuspruch. Vor allem kleinere Firmen nutzen die Angebote und die Anzahl der…
Das Web ist bunt
Werbe-Erfolg mit kleinen Budgets

Unternehmen mit kleinen Budgets müssen Wege suchen, wie sie durch geschicktes Agieren Neukunden für sich gewinnen. Wir stellen die wichtigsten Ansätze…
Web-Analyse
Sicherheit & Internet:Sicherheit:Datenschutz &…

Moderne Web-Analyse-Tools greifen Informationen direkt in den Browsern Ihrer Besucher ab und liefern bessere Ergebnisse als die klassische…
Internet, sicherheit, webdesign, website, cms
Websicherheit

Sicherheit ist bei Websites ein flüchtiger Zustand. Seiten, die gestern noch sicher waren, können heute schon von einer Schwachstelle betroffen sein.…
image.jpg
Sicherheit

Wir zeigen, wie Sie den Facebook Like-Button ebenso wie Google Analytics trotz deutscher Datenschutzvorschriften relativ gefahrlos einsetzen können.