Bom dia,
Atualmente estou criando uma nova regra de segurança mod 2.5.
Minha implantação: tenho um servidor Apache no modo proxy reverso. Este servidor Apachenãohospedar os sites. Em vez disso, faço proxy das solicitações para outro servidor que responde às solicitações da web.
O servidor web usa tokens de autenticação para reescrever o URL do site em um URL seguro.
75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
O problema:
Atualmente, o Modsecurity verifica o URI. Devido à natureza dos URIs aleatórios, muitos falsos positivos foram produzidos. Para evitar isso, quero isentar todos os URIs da verificação.
Como o token de reescrita, redirecionamento e autenticação estão sendo gerados no servidor web (e é assim que queremos mantê-lo), como posso informar ao mod security que esses cabeçalhos são legítimos e não os verifico?
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"
Responder1
Até onde sei, não é possível ignorar qualquer parte específica da solicitação (seja URI ou qualquer parâmetro) detodosregras ModSecurity configuradas. Embora isso possa ser útil, provavelmente abriria uma série de falhas de segurança.
Portanto, você só precisa ver quais regras estão falhando e adicionar exceções à lista branca para essas regras.
Se você der exemplos de algumas das regras que falham, talvez eu possa sugerir como fazer isso se precisar de ajuda.
Responder2
Acabamos resolvendo esse problema usando outra regra para não verificar o URI.
SecRuleUpdateTargetById 950120 !ARGS:REQUEST_URI
Dessa forma, esta regra específica não verificaria o URI, mas ainda assim verificaria o restante do pacote. Deve-se observar que esta regra precisa ser replicada para cada regra que você possui.