Mod-Security

如何在 ModSecurity 中將某個 cookie 字元串列入白名單

  • December 18, 2013

在我們的伺服器上使用第 3 部分軟體時,我們得到了很多誤報。他們自己似乎無法修復它,我正在嘗試解決如何允許包含“CERTAINSTRING_”的cookies

以下是其中一項禁令的範例。它們都是相同的規則 id

www.mysite.com  27.33.154.111   981231  [15/Dec/2013:12:14:36 +1100]

Pattern match: \
"(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
     "description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
     "rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
     "description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]

您可以使用 SecRuleUpdateTargetById 來修改規則

SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/

這將禁用導致您對名稱以_CERTAINSTRING 開頭的請求cookie 感到痛苦的規則。

更新:

上面的規則需要放在它所引用的規則定義之後。這通常通過創建一個文件來完成,該文件在所有 CRS 規則之後讀取,例如基於您的審計日誌消息中引用的位置

/usr/local/apache/conf/modsecurity_crs_61_customrules.conf

引用自:https://serverfault.com/questions/562043

相關問答

Mod-Security

ModSecurity 是用於身份驗證還是 WAF?

  • July 6, 2022
檢視問答
Mod-Security

測試 mod_security 是否實際工作

  • January 4, 2022
檢視問答
Linux

我可以在伺服器上使用哪些保護措施

  • November 30, 2021
檢視問答
Mod-Security

ModSecurity 不寫入新的輪換日誌文件?

  • August 12, 2021
檢視問答
Linux

如何在 crs-setup.conf 中設置異常分數?

  • August 4, 2021
檢視問答
Apache-2.2

禁用特定目錄的 modsecurity

  • May 13, 2021
檢視問答