Security

ModSecurity CRS 3 - 禁用 URI 模式的 SQLi 規則

  • April 27, 2019

當 URI 中存在某些值時,我試圖禁用規則 942100(一條 SQLi 規則),但 apache 不會啟動,所以出現了問題。

我的嘗試(在 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf 中):

SecRule ARGS "@rx (m[inax]{2}[_\w]+)\-{3}[ade]{1,2}sc" \
   "id:942100,\
   phase:2,\
   pass,\
   nolog,noauditlog,\
   ctl:ruleRemoveById=942100"

這個想法是這樣的,例如“min_width—asc”和“max_height_or_width—desc”之類的URI值不會被ModSec標記。我需要刪除這些誤報,但它不起作用。

我認為你不能刪除規則本身。如您所見,id您的規則等於您要刪除的內容。

如果您在此處看到原始規則,您可以看到,有一個唯一的 id (1001)。為什麼不修改運算符和參數,並刪除註釋?

例如。:

SecRule ARGS "@rx (m[inax]{2}[_\w]+)\-{3}[ade]{1,2}sc" \
    "id:1001,\
    phase:1,\
    pass,\
    nolog,\
    ctl:ruleRemoveTargetById=942100"

或者你用一個新的、唯一的 id 來做這件事(用另一個唯一的值替換 1001)。

引用自:https://serverfault.com/questions/964613