SqlMapがSQLインジェクションのOWASP ModSecurityコアルールセットをバイパスする

DVWA（最も一般的なWebアプリケーション攻撃のいくつかに対して脆弱になるように特別に設計されたWebアプリケーション）で簡単な侵入テストを実行しようとしています。

ModSecurity WAFを使用して、このWebアプリケーションをSQLインジェクション攻撃から保護したい。 Apache Webサーバーを使用してWebアプリケーションをホストしています。この「被害者」の仮想マシンのオペレーティングシステムはWindows XP SP3です。

ModSecurity自体はほとんど保護を提供しません。そこで、OWASP ModSecurityコアルールセットプロジェクトを使用して、追加のSQLインジェクションルールを含めることにしました。

OWASPコアルールセットの「base_rules」フォルダにある「SQLインジェクション攻撃ルール」を適切な構成ファイルにコピーし、これらのルールがModSecurity自体と一緒に読み込まれるようにしました。

Kali Linuxがインストールされている他の仮想マシンからDVWAに手動でSQLインジェクション攻撃を実行しました。例えば：

%’ or 1=0 union select null, concat (first_name, 0x0a, last_name, 0x0a, user, 0x0a, password) from users #

SQLインジェクションコアルールセットを無効にすると、次の情報が表示されます。

ただし、これらのルールが有効になっている場合、サーバーは常に「エラー403 –アクセスは禁止されています」を返します。これは、これらのSQLインジェクションルールが正しく機能していたことを意味します。

次に、sqlmapを使用して、より高度なSQLインジェクション攻撃を実行することにしました。 cookie情報を取得するために、burp suiteを使用してセッションをハイジャックする必要がありました。そのすべての情報をKali Linux仮想マシンの.txtファイルにコピーしました。

IPとCookieの情報を隠しました。

これは、Kali Linux仮想マシン端末で入力したコマンドです。

Sqlmapは、OWASP ModSecurity SQLインジェクションルールをバイパスして、次の情報を表示しました。

なぜこれらのルールを迂回できたのか本当に理解できません。何か案は？

次のチュートリアルを使用して、仮想マシンでModSecurityを構成しました。

http://mewbies.com/how_to_install_mod_security_for_Apache_tutorial.htm

たぶん、sqlmap攻撃を防ぐために追加のOWASPルールセットを含める必要があったのでしょうか？

ありがとうございました