Как включить набор правил с ModSecurity на IIS?

Question

Как включить набор правил с ModSecurity на IIS?

Я использую ModSecurity 2.7.1 на IIS 7.5 / Windows 2008 R2. Я ссылаюсь на файл конфигурации базы базы в моем файле Web.Staging.config, например:

<ModSecurity enabled="true" configFile="*******\ModSecurity.conf" xdt:Transform="Insert"/>

Как включить другой набор правил, например, набор правил OWASP?

1

windows-server-2008 iis-7 asp.net mod-security

Источник

autonomatt 11 дек '12 в 07:02

1 ответ

Решение

Другие вопросы по тегам windows-server-2008 iis-7 asp.net mod-security

borkborkbork 02 янв '13 в 10:17 2013-01-02 10:17 · Accepted Answer · 2013-01-02 10:17

Я только что поиграл с Modsecurity 2.7.1 в IIS, и я достиг этого, используя Include "c:/yourpath/modsecurity_crs_10_setup.conf" в вашем базовом conf-файле, а также используя Include для извлечения base_rules внутри modsecurity_crs_10_setup.conf файл.

Просто предупреждение, однако, я обнаружил, что ModSecurity / IIS очень ненадежный, особенно с использованием набора правил OWASP. Это убило мой AppPool несколько раз.

Кроме того, у меня была та же проблема, что и у вас, когда SecRequestBodyAccess не позволяет ASP.NET получать данные POST. Я не использую MVC, хотя, поэтому я подозреваю, что это не связано конкретно с MVC.