ModSecurity: Processing Phase

2017-12-13 本文已影响8人捞小虾

1. Processing Phase

Mod_security RULE可在上述5个阶段执行。

Apache Request Cycle

Server config：非virtual host, directory 或者 .htaccess文件。
Virtual host：虚拟主机，可以允许单一的主机上运行多个网站。
- <VirtualHost addr[:port] [addr[:port]] ...> ... </VirtualHost>
  Scope：server config
  封装的命令只对该虚拟主机生效。
Directory
- <Proxy wildcard-url> ...</Proxy>
  Scope: server config, virtual host
  封装的命令只对指定wildcard-url及其子path生效
  P.S. "http://example.com/abc" match "http://example.com/abc", "http://example.com/abcx", "http://example.com/abc/x/y".
- <Location URL> ... </Location>
  Sope: server config, virtual host
  封装的命令只对指定URL及其子path生效。
  P.S. "/abc" match "/abc", "/abc/x/y"; do not match "/abcx".
- <Directory directory-path> ... </Directory>
  Scope: server config, virtual host
  封装的命令只对指定directory-path及其子目录生效。
- <Files filename> ... </Files>
  Scope: server config, virtual host, directory, .htaccess
  封装的命令只对指定的file生效。
- <If expression> ... </If>
  Scope: server config, virtual host, directory, .htaccess
  封装的命令只有在expression为true时生效。
.htaccess: 针对目录的配置文件

Scope: server config, virtual host
Description: 读取request header后立刻进度request header处理该阶段。
- 对request line和request header进行拦截检查
- 决定是否缓存request body
- 决定如何解析request body (XML or not)

Description: 解析request body, 大部分规则在这个阶段执行。
Mod_security目前支持一下几种编码：
- application/x-www-form-urlencoded：html表格提交
- multipart/form-data：文件上传
- text/xml：XML文件
Note：必须开启SecRequestBodyAccess才能解析request body。

SecRequestBodyAccess On

Description: 该阶段发生在response header发送给client前。
- 决定是否buffer response body
- 部分error status code处理 (404等部分error code是在request header阶段处理)
Note：插入header不在phase3阶段执行，而是在phase5 logging阶段完成。

SecResponseBodyAccess On

Description: 应答转发给client前的最后的处理阶段。
- 执行与log相关的action, mod_security支持两种log：
  - Debug log
  - Audit log
- 插入header