Мы получаем много ложных срабатываний от использования стороннего программного обеспечения на нашем сервере. Они сами, похоже, не могут это исправить, и я пытаюсь понять, как разрешить файлы cookie, содержащие "CERTAINSTRING_"
Ниже приведен пример одного из банов. Они все имеют одинаковый идентификатор правила
www.mysite.com 27.33.154.111 981231 [15/Dec/2013:12:14:36 +1100]
Pattern match: \
"(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]
решение1
Вы можете использовать SecRuleUpdateTargetById для изменения правила.
SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/
Что отключит правило, которое вызывает у вас проблемы с запросами cookie-файлов, имена которых начинаются с _CERTAINSTRING.
Обновлять:
Правило выше должно быть размещено после того, как определено правило, на которое оно ссылается. Обычно это делается путем создания файла, который считывается после всех правил CRS, например, на основе местоположения, указанного в сообщении журнала аудита
/usr/local/apache/conf/modsecurity_crs_61_customrules.conf