새로운 Mod Security 2.5 규칙을 만드는 데 어려움을 겪고 있습니다.
내 배포: Apache 서버, 역방향 프록시로 설정. (따라서 Apache 웹 서버는 웹 사이트를 호스팅하지 __않습니다_. 대신 웹 요청에 응답하는 다른 서버로 요청을 프록시합니다.)
웹 서버는 인증 토큰을 사용하여 웹 사이트 URL을 보안 URL로 다시 작성합니다.
75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
문제:
Modsecurity는 현재 URI를 스캔합니다. 무작위 URI의 특성으로 인해 많은 오탐이 발생했습니다. 이를 방지하기 위해 모든 URI를 검사에서 제외하고 싶습니다.
재작성, 리디렉션 및 인증 토큰이 모두 웹 서버에서 생성되고 있으므로(그리고 이것이 우리가 이를 유지하려는 방식입니다) 이러한 헤더가 합법적이라는 것을 모드 보안에 알리고 스캔하지 않도록 하려면 어떻게 해야 합니까?
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"
답변1
원래 질문에 대한 의견의 답변을 따릅니다.
간단히 말해서 검사에서 URI를 부정하는 것은 불가능합니다. ModSecurity는 규칙/서명 기반의 다른 제품과 같습니다.
VirtualHost그러나 당신이 할 수 있는 일은 (에 대한 아파치 오류 로그에서 ) 오탐에 대한 규칙 ID를 가져오고 SecRemoveRuleById 123456아파치 구성에서 수행하는 것입니다. 이렇게 하면 일치되는 오탐을 제거할 수 있습니다.
LocationMatch지시문이나 유사한 방법을 통해 가능한 한 선택적으로 수행하는 것이 좋습니다.
채팅당,흐르보예의유용할 수 있는 예제 또는 규칙 연결을 보여줍니다.