Fab*_* B. 0 apache mod-security mod-security2
我刚刚在我的 Apache2 Web 服务器上安装了 mod_security。
我激活了所有的base_rules/我激活了OWASP CRS 中的
我通过查看内部发现了误报/var/log/apache2/modsec_audit.log。
目标网址是:
/mobile//index.cfm?gclid=Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ
错误日志是:
消息:警告。模式匹配 "([\~\!\@\#\$\%\^\&\*\(\)\-\+\=\{\}\[\]\|\:\;\"\ '\\xc2\xb4\\xe2\x80\x99\\xe2\x80\x98\`\<\>].*?){4,}" at ARGS:gclid。[文件“/usr/share/modsecurity” -crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [行"159"] [id "981173"] [rev "2"] [msg "受限 SQL 字符异常检测警报 - 超出特殊字符总数"] [数据"匹配数据: - 在 ARGS:gclid 中找到:Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ"] [ver "OWASP_CRS/2.2.8"] [成熟度 "9"] [准确度 "8"] [标签“OWASP_CRS/WEB_ATTACK/SQL_INJECTION "] 消息:警告。操作员 LT 在 TX:inbound_anomaly_score 处匹配 5。[文件“/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf”] [行“33”] [id“981203”] [msg“入站”异常分数(总入站分数:3、SQLi=1、XSS=0):受限 SQL 字符异常检测警报 - 超出特殊字符总数”]
该消息是不言自明的,但是...对于我的网站来说,这不是恶意 URL。
如何将此类 URL(例如包含 gclid 参数)列入“白名单”而不是完全禁用规则 981203?
您可以在定义其他规则后添加此配置:
SecRuleUpdateTargetById 981203 !ARGS:'gclid'
然而,我看到这个规则有很多误报,所以经常完全关闭它。OWASP CRS 容易出现过度警报,需要进行大量调整。
请参阅此帖子了解其他建议的常见规则调整: Modsecurity:误报过多
| 归档时间: |
|
| 查看次数: |
3366 次 |
| 最近记录: |