我已在 CRS-setup.conf 中將異常評分等級配置為 8 當我查看審核日誌時,我看到以下條目:
--f0d8a724-H--
Message: Warning. detected XSS using libinjection. [file "/etc/httpd/modsecurity.d/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "64"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data: found within ARGS:page: /One-Initial-Bordered-Card?cross-sell=1"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"]
Apache-Error: [file "apache2_util.c"] [line 271] [level 3] [client %s] ModSecurity: %s%s [uri "%s"]%s
Apache-Handler: application/x-httpd-php
Stopwatch: 1512753208830562 28609 (- - -)
Stopwatch2: 1512753208830562 28609; combined=1561, p1=361, p2=888, p3=55, p4=215, p5=41, sr=54, sw=1, l=0, gc=0
如果我將 SecRuleEngine 打開而不是調試,上述事件會被阻止嗎?我的假設是否正確,因為該事件未超過異常分數 8,因此它會允許此請求?我的審核日誌中有其他事件,明確指出它們超過了閾值 8,因此,除非審核日誌明確指出它超出了閾值,否則請求不會被阻止,這是一個合理的假設嗎?
如果是這種情況,是否有辦法將審核日誌配置為僅記錄在 SecRuleEngine 設定為開啟時會被封鎖的事件?我不想在審核日誌中看到任何不超過閾值等級的部分匹配。
答案1
如果我將 SecRuleEngine 打開而不是調試,上述事件會被阻止嗎?我的假設是否正確,因為該事件未超過異常分數 8,因此它會允許此請求?我的審核日誌中有其他事件,明確指出它們超過了閾值 8,因此,除非審核日誌明確指出它超出了閾值,否則請求不會被阻止,這是一個合理的假設嗎?
對,那是正確的。
如果是這種情況,是否有辦法將審核日誌配置為僅記錄在 SecRuleEngine 設定為開啟時會被封鎖的事件?我不想在審核日誌中看到任何不超過閾值等級的部分匹配。
不,那裡沒有。這也是我不喜歡異常模式評分的主要原因之一。即使你打開它,你也會看到這種噪音。了解攻擊是否會被阻止的唯一方法是異常檢查是否在火災結束時運行(規則 ID 949110 - 949118)。