동일한 IP에서 다중 POST SQL 주입

tag-icon tag-icon apache-2.2 security centos6 sql
동일한 IP에서 다중 POST SQL 주입

최근에 Apache domlog를 확인하고 다음 공격을 발견했습니다.

POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...

이는 SQL 주입에 대한 명백한 시도입니다. 이는 동일한 IP에서 약 3000회 발생했습니다. 이제 이 IP를 블랙리스트에 올릴 수 있지만 서버 측에서 이와 같은 일이 발생하지 않도록 적용할 더 나은 규칙이 있습니까?

이 서버는 CentOS 6.4를 실행 중입니다.

답변1

커뮤니티, 베이스핵심 규칙에 포함된 세트모드 보안문자열(예: 선택, 결합 및 원본 포함 여부) 또는 점수 또는 빈도 등에 따라 이러한 요청을 감지하고 차단합니다. 구성 방법에 따라 다릅니다.

예시 파일:https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/master/base_rules/modsecurity_crs_41_sql_injection_attacks.conf

관련 정보