विंडोज

Question

के लिए OWASP के साथ ModSecurity को स्थापित करना मैं अपने कोल्डफ्यूजन/रेलो वेबसाइटों की सुरक्षा में सहायता के लिए विंडोज़ में मॉडसुरिटी स्थापित करने की कोशिश कर रहा हूं। मैंने एमएसआई डाउनलोड किया और इसे स्थापित किया लेकिन यह सुनिश्चित करने के लिए परीक्षण किया गया कि यह काम कर रहा था, यह एसक्यूएल इंजेक्शन को अवरुद्ध नहीं करता है।

मेरा सवाल है, क्या किसी को विंडोज़ में इसे स्थापित करने के चरण-दर-चरण तरीके से पता है? मुझे विवरण के साथ ज्यादा जानकारी नहीं मिल रही है लेकिन लिनक्स में इसे इंस्टॉल करने के तरीके पर कई स्रोत पाए गए हैं।

मैंने विंडोज इंस्टॉलेशन पेज के तहत इवान रस्टिक द्वारा मॉडसुरिटी हैंडबुक को भी देखा और यह बहुत अधिक जानकारी नहीं देता है।

अग्रिम धन्यवाद।

Answer 1

आप <system.webServer> अनुभाग के लिए निम्न विन्यास तत्व जोड़कर अपने web.config फ़ाइल में ModSecurity सक्षम करना होगा:

<ModSecurity enabled="true" 
      configFile="c:\inetpub\wwwroot\owasp_crs\modsecurity_iis.conf" /> 

इसके अलावा, बॉक्स से बाहर, नियम इंजन केवल "का पता लगाने मोड" में चलता है (और अभी भी एप्लिकेशन इवेंट लॉग में समस्या अनुरोध लॉग करता है) ताकि आपकी लाइव साइट्स को झूठी सकारात्मकताओं से बाधित न किया जा सके।

: आप में इस सेटिंग को पा सकते हैं

SecRuleEngine DetectionOnly 

SecRuleEngine On 

रहे हैं:

ModSecurity इस तरह अवरुद्ध, इस बात का खंडन आदि आप से SecRuleEngine निर्देश को बदलने की जरूरत के रूप में कार्रवाई करने के लिए अनुमति देने के लिए

C:\inetpub\wwwroot\owasp_crs\modsecurity.conf 

इससे पहले कि आप इस फ़ाइल को संपादित कर सकें, आपको केवल पढ़ने के लिए अटूट को हटाना होगा ibute। आपको अपने संपादक को प्रशासक के रूप में भी चलाने की आवश्यकता होगी।