Занятие 4. Web Application Firewall

# Занятие 4. Web Application Firewall ### 1. Использую стенд с первой практической ![](https://i.imgur.com/NZGBdPH.png) ### 2. Обновляем ОС: ![](https://i.imgur.com/m7C5Tye.png) ### 3. Настраиваем прокси: ![](https://i.imgur.com/G3iE3hr.png) ## Установка Nginx: ### 1. Удалить существующую Nginx: ![](https://i.imgur.com/Usubrzo.png) ### 2. Добавить последний Nginx PPA ![](https://i.imgur.com/5JROrJz.png) ![](https://i.imgur.com/ZFqdr6q.png) ### 3. Добавление исходного кода Nginx в репозиторий ![](https://i.imgur.com/AjiYnLk.png) ![](https://i.imgur.com/0kGwZrd.png) ### 4. Скачивание исходного кода Nginx ![](https://i.imgur.com/ho7icPE.png) ## Установка libmodsecurity3 для ModSecurity ### 1. Клонирование репозитория ModSecurity с Github ![](https://i.imgur.com/Q7N6XNt.png) ### 2. Установка зависимостей libmodsecurity3 ![](https://i.imgur.com/ZfZozvg.png) ![](https://i.imgur.com/OI7Wrnn.png) ### 3. Создание среды ModSecurity ![](https://i.imgur.com/WUylL5P.png) ### 4. Компиляция исходного кода ModSecurity ![](https://i.imgur.com/FUtWvvU.png) ![](https://i.imgur.com/M3717ws.png) ## Установка ModSecurity-nginx Connector ### 1. Клонирование репозитория ModSecurity-nginx из Github ![](https://i.imgur.com/OEKe2p1.png) ### 2. Установка зависимостей ModSecurity-nginx ![](https://i.imgur.com/mf5b8Zw.png) ![](https://i.imgur.com/rrIbLDH.png) ![](https://i.imgur.com/dwSMRSq.png) ## Загрузка и настройка коннектора ModSecurity-nginx с помощью Nginx ### 1. Включить ModSecurity в nginx.conf ![](https://i.imgur.com/6p5lHOD.png) ![](https://i.imgur.com/SiUuSFP.png) ### 2. Создание и настройка каталога и файлов для ModSecurity ![](https://i.imgur.com/rq5NG9e.png) ![](https://i.imgur.com/BuVbA4N.png) ![](https://i.imgur.com/KRKmXTX.png) ![](https://i.imgur.com/sTizV8r.png) ![](https://i.imgur.com/s8Mw9Kz.png) ## Установка основного набора правил OWASP для ModSecurity ![](https://i.imgur.com/kbh5Os2.png) ![](https://i.imgur.com/NCZRJos.png) ![](https://i.imgur.com/JEN1PHR.png) ![](https://i.imgur.com/6QyVda9.png) ![](https://i.imgur.com/P5sL9J3.png) ## Провести 3 атаки из списка OWASP top 10 и продемонстрировать работоспособность WAF ### SQLi: ![](https://i.imgur.com/vtdzqkd.png) ### XSS: ![](https://i.imgur.com/Dpdry9T.png) ### LFI: ![](https://i.imgur.com/hVKByIT.png)