우리 서버에서 타사 소프트웨어를 사용하면 많은 거짓 긍정이 발생합니다. 그들 스스로는 문제를 해결할 수 없는 것 같으며 "CERTAINSTRING_"이 포함된 쿠키를 허용하는 방법을 찾으려고 노력 중입니다.
다음은 금지 사항 중 하나의 예입니다. 그들은 모두 동일한 규칙 ID입니다
www.mysite.com 27.33.154.111 981231 [15/Dec/2013:12:14:36 +1100]
Pattern match: \
"(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]
답변1
SecRuleUpdateTargetById를 사용하여 규칙을 수정할 수 있습니다.
SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/
이름이 _CERTAINSTRING으로 시작하는 요청 쿠키에 대해 문제를 일으키는 규칙을 비활성화합니다.
업데이트:
위의 규칙은 해당 규칙이 정의된 규칙 뒤에 배치되어야 합니다. 이는 일반적으로 감사 로그 메시지에서 참조된 위치를 기반으로 모든 CRS 규칙 이후에 읽혀지는 파일을 생성하여 수행됩니다.
/usr/local/apache/conf/modsecurity_crs_61_customrules.conf