¿Qué regla puedo usar en ModSecurity para registrar la carga útil POST para un sitio específico?

Question 1

Similar a esta pregunta:¿Cómo hacer que mod_security registre todos los datos POST?

Tienes razón, no puedes encadenar dos reglas en dos fases diferentes; sin embargo, la fase 2 tiene acceso a toda la información de la fase 1, así que muévelo a la fase 2 si quieres hacerlo de esta manera.

Esta regla que diste:

SecRule REQUEST_METHOD "POST" "phase:2,log,id:22222223

Es algo inútil. Esto registrará (en el registro principal) que se recibió una solicitud POST pero sin el cuerpo POST.

También se registrará en AuditEngine dependiendo de cuál sea suSecAuditEngineEl valor se establece en:

Si tiene SecAuditEngine configurado en Activado, todo se registra en el registro de auditoría y no se necesita la regla anterior. Esto llena los archivos de registro rápidamente, por lo que no se recomienda.
Si tiene SecAuditEngine configurado en RelevantOnly, también se registrará aquí.
Si SecAuditEngine está desactivado, nunca se registrará en el registro de auditoría.

Por lo general, es mejor tener SecAuditEngine configurado en RelevantOnly (que sospecho que es lo que ya tiene), pero si no está configurado así, es posible que el cuerpo no se registre en AuditLog.

Quizás una mejor manera de hacerlo es con esa otra regla que diste usandocontrolacción:

SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,log,pass"

Esto obliga a AuditEngine a estar activado para solicitudes de publicación, incluso si AuditLog está configurado en Desactivado. Esto también registrará que ha activado esta regla para activarla, lo cual no es realmente necesario ni útil, por lo que cambiaría el "registro" a "nolog". La solicitud aún se registrará (ya que auditEngine se configuró en sí), pero esta regla que realiza ese cambio no lo hará. Por cierto, cuando usa ctl, esto solo afecta esta solicitud, por lo que AuditEngine se restablecerá para la siguiente solicitud.

Como usted dice, esto parece funcionar excepto que no tiene la parte C. Esto se establece conPartes de registro de auditoría secundaria. De forma predeterminada, esto incluye partes C, así que supongo que eso significa que debes haber cambiado el valor predeterminado. ¿Hubo alguna razón para esto?

De todos modos, puedes configurarlo para que incluya partes C:

SecAuditLogParts ABCFHZ
SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,nolog,pass"

O, si solo desea que se registren las partes C cuando se activa esta regla, puede hacer esto como parte de la regla:

SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,ctl:auditLogParts=ABCFHZ,nolog,pass"

La otra cosa a tener en cuenta es que las solicitudes POST pueden registrar datos confidenciales (contraseñas, números de tarjetas de crédito, números de seguro social... Etc). No se recomienda registrarlos y también puede infringir la política de la empresa y/o cualquier estándar que esté siguiendo (por ejemplo, cumplimiento de PCI). Por lo tanto, se recomienda establecer reglas de desinfección para enmascarar estos datos. Vea aqui para mas informacion:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#sanitiseArg

Answer

Similar a esta pregunta:¿Cómo hacer que mod_security registre todos los datos POST?

Tienes razón, no puedes encadenar dos reglas en dos fases diferentes; sin embargo, la fase 2 tiene acceso a toda la información de la fase 1, así que muévelo a la fase 2 si quieres hacerlo de esta manera.

Esta regla que diste:

SecRule REQUEST_METHOD "POST" "phase:2,log,id:22222223

Es algo inútil. Esto registrará (en el registro principal) que se recibió una solicitud POST pero sin el cuerpo POST.

También se registrará en AuditEngine dependiendo de cuál sea suSecAuditEngineEl valor se establece en:

Si tiene SecAuditEngine configurado en Activado, todo se registra en el registro de auditoría y no se necesita la regla anterior. Esto llena los archivos de registro rápidamente, por lo que no se recomienda.
Si tiene SecAuditEngine configurado en RelevantOnly, también se registrará aquí.
Si SecAuditEngine está desactivado, nunca se registrará en el registro de auditoría.

Por lo general, es mejor tener SecAuditEngine configurado en RelevantOnly (que sospecho que es lo que ya tiene), pero si no está configurado así, es posible que el cuerpo no se registre en AuditLog.

Quizás una mejor manera de hacerlo es con esa otra regla que diste usandocontrolacción:

SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,log,pass"

Esto obliga a AuditEngine a estar activado para solicitudes de publicación, incluso si AuditLog está configurado en Desactivado. Esto también registrará que ha activado esta regla para activarla, lo cual no es realmente necesario ni útil, por lo que cambiaría el "registro" a "nolog". La solicitud aún se registrará (ya que auditEngine se configuró en sí), pero esta regla que realiza ese cambio no lo hará. Por cierto, cuando usa ctl, esto solo afecta esta solicitud, por lo que AuditEngine se restablecerá para la siguiente solicitud.

Como usted dice, esto parece funcionar excepto que no tiene la parte C. Esto se establece conPartes de registro de auditoría secundaria. De forma predeterminada, esto incluye partes C, así que supongo que eso significa que debes haber cambiado el valor predeterminado. ¿Hubo alguna razón para esto?

De todos modos, puedes configurarlo para que incluya partes C:

SecAuditLogParts ABCFHZ
SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,nolog,pass"

O, si solo desea que se registren las partes C cuando se activa esta regla, puede hacer esto como parte de la regla:

SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,ctl:auditLogParts=ABCFHZ,nolog,pass"

La otra cosa a tener en cuenta es que las solicitudes POST pueden registrar datos confidenciales (contraseñas, números de tarjetas de crédito, números de seguro social... Etc). No se recomienda registrarlos y también puede infringir la política de la empresa y/o cualquier estándar que esté siguiendo (por ejemplo, cumplimiento de PCI). Por lo tanto, se recomienda establecer reglas de desinfección para enmascarar estos datos. Vea aqui para mas informacion:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#sanitiseArg

Question 2

Asegúrese de lo siguiente:

TenerSecRequestBodyAccess On
Intente utilizar "auditlog" en lugar de "log"
Si tiene SecAuditLogParts definidos de forma personalizada, asegúrese de que incluya el cuerpo de la solicitud

Answer

Asegúrese de lo siguiente:

TenerSecRequestBodyAccess On
Intente utilizar "auditlog" en lugar de "log"
Si tiene SecAuditLogParts definidos de forma personalizada, asegúrese de que incluya el cuerpo de la solicitud

¿Qué regla puedo usar en ModSecurity para registrar la carga útil POST para un sitio específico?

Respuesta1

Respuesta2

información relacionada