我在建立新的 mod security 2.5 規則時遇到困難。
我的部署:Apache 伺服器,設定為反向代理。 (因此 apache Web 伺服器 __ 不 _ 託管該網站。相反,我將請求代理到另一台響應 Web 請求的伺服器。)
Web 伺服器使用驗證令牌將網站 URL 重寫為安全 URL。
75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
問題:
Modsecurity 目前掃描 URI。由於隨機 URI 的性質,會產生大量誤報。為了防止這種情況,我想免除所有 URI 的掃描。
由於重寫、重定向和身份驗證令牌都是在網頁伺服器上產生的(這也是我們希望保留的方式),我如何通知 mod security 這些標頭是合法的並且不掃描它們?
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"
答案1
按照對原始問題的評論中的答案;
簡而言之,不可能從檢查中否定 URI,ModSecurity 與其他基於規則/簽名的產品一樣。
然而,您可以做的是獲取誤報的ruleid(從apache錯誤日誌中VirtualHost)並在您的apache配置中執行a SecRemoveRuleById 123456,這樣做將允許您刪除匹配的誤報。
LocationMatch我強烈建議您透過指示或類似的方式盡可能有選擇性地進行
每次聊天,赫爾沃耶的顯示可能有用的範例或規則鏈