Regla ModSecurity para no escanear URI

tag-icon tag-icon linux apache-2.2 apache-2.4 linux-networking mod-security
Regla ModSecurity para no escanear URI

Tengo dificultades para crear una nueva regla de seguridad mod 2.5.

Mi implementación: servidor Apache, configuración como proxy inverso. (por lo tanto, el servidor web Apache __no_ aloja el sitio web. En su lugar, envío las solicitudes a otro servidor que responde a las solicitudes web).

El servidor web utiliza tokens de autenticación para reescribir la URL del sitio web en una URL segura.

75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

El problema:

Modsecurity actualmente escanea el URI. Debido a la naturaleza de los URI aleatorios, se han producido muchos falsos positivos. Para evitar esto, quiero eximir del análisis a todos los URI.

Dado que el token de reescritura, redireccionamiento y autenticación se genera en el servidor web (y así es como queremos conservarlo), ¿cómo le informo a la seguridad del mod que estos encabezados son legítimos y no los escaneo?

75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

 75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"

Respuesta1

Tras la respuesta en los comentarios a la pregunta original;

En resumen, no es posible negar el URI de la inspección; ModSecurity, como otros productos, se basa en reglas/firmas.

Sin embargo, lo que puede hacer es obtener el ID de regla para sus falsos positivos (del registro de errores de Apache para VirtualHost) y realizar una SecRemoveRuleById 123456en su configuración de Apache; hacerlo le permitirá eliminar la coincidencia de los falsos positivos.

Le sugiero encarecidamente que lo haga de la manera más selectiva posible mediante una LocationMatchdirectiva o algo similar.

Por chat,Hrvoje'smuestra un ejemplo o encadenamiento de reglas que pueden ser útiles

información relacionada