Wir erhalten viele Fehlalarme, weil wir auf unserem Server Software von Drittanbietern verwenden. Sie selbst scheinen das Problem nicht beheben zu können, und ich versuche herauszufinden, wie ich Cookies durchlassen kann, die „CERTAINSTRING_“ enthalten.
Unten sehen Sie ein Beispiel für eines der Verbote. Sie haben alle die gleiche Regel-ID
www.mysite.com 27.33.154.111 981231 [15/Dec/2013:12:14:36 +1100]
Pattern match: \
"(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]
Antwort1
Sie können SecRuleUpdateTargetById verwenden, um die Regel zu ändern
SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/
Dadurch wird die Regel deaktiviert, die Ihnen Probleme bei Anforderungscookies bereitet, deren Name mit _CERTAINSTRING beginnt.
Aktualisieren:
Die obige Regel muss nach der Definition der Regel, auf die sie sich bezieht, platziert werden. Dies geschieht normalerweise durch die Erstellung einer Datei, die nach allen CRS-Regeln gelesen wird, z. B. basierend auf dem in Ihrer Audit-Log-Nachricht referenzierten Speicherort.
/usr/local/apache/conf/modsecurity_crs_61_customrules.conf