mod_security: 禁用文件检查 cookie, 调用虚假反应 SQLI

我正在尝试配置 mod_security 在 CentOS 7 为了 apache2.4 有一套规则 OWASP. 事实是我的Web应用程序创建文件 cookie 用符号 - 并标记为 SQLI. 我读了下一篇文章
https://serverfault.com/questi ... urity
试图禁用内疚 cookie, 但我不幸运的是:我还是得到了 403 禁止。

我试图加入我的 whitelist.conf (在文件夹中 modsecurity.d /) 以下规则: SecRuleUpdateTargetByMsg “发现了一系列评论。 SQL». ! REQUEST_COOKIES: / ^ * 标题 * (在同一行中 c):

我得到了 403 如果有的话是禁止的 cookie. 我试图创建一个文件,如文章所示,并将规则添加到文件中 /etc/httpd/modsecurity-crs/base_rules/modsecurity_crs_61_customrules.conf, 但仍然是什么:我被封锁了。

它是有问题的,因为这个文件 cookie 它是允许的。 是否在当前版本中解决此问题的方法已更改 mod_security? 还是我仍然做错了什么? 谢谢您的帮助。

编辑:

对于每个标识符的规则,这看起来像这样: SecRuleUpdateTargetById 981172! REQUEST_COOKIES_NAMES: / ^ TitleBox / 在职的

消息似乎是: SecRuleUpdateTargetByMsg “发现了一系列评论。 SQL». ! REQUEST_COOKIES_NAMES: / ^ TitleBox 它不起作用,仍然阻止我的文件 cookie
2021-03-20 添加评论
分享

没有找到相关结果

    已邀请:

    江南孤鹜

    赞同来自:

    您联系的问题,涉及规则 981231 进入一个看起来像这样的白色列表:

    SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "(/\*!?|\*/|[';]--|--[\s\r\n\v\f]|(?:--[^-]*?-)|([^\-&])#.*?[\s\r\n\v\f]|;?\\x00)" "phase:2,rev:'2',ver:'OWASP_CRS/2.2.9',maturity:'8',accuracy:'8',\
    
id:'981231',t:none,t:urlDecodeUni,block,\
    
msg:'SQL Comment Sequence Detected.'\
    
,severity:'2',capture,logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',tag:'OWASP_CRS/WEB_ATTACK/SQL_INJECTION',tag:'WASCTC/WASC-19',tag:'OWASP_TOP_10/A1',tag:'OWASP_AppSensor/CIE1',tag:'PCI/6.5.2',setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.sql_injection_score=+1,setvar:'tx.msg=%{rule.msg}',setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}"

    你正在努力制作 981172 白色列表如下所示:

    SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES "([\~\!\@\#\$\%\^\&\*\(\)\-\+\=\{\}\[\]\|\:\;\"\'\´\’\‘\`\<\>].*?){8,}" "phase:2,t:none,t:urlDecodeUni,block,\
    
id:'981172',rev:'2',ver:'OWASP_CRS/2.2.9',maturity:'9',accuracy:'8',\
    
msg:'Restricted SQL Character Anomaly Detection Alert - Total # of special characters exceeded',\
    
capture,logdata:'Matched Data: %{TX.1} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',tag:'OWASP_CRS/WEB_ATTACK/SQL_INJECTION',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.sql_injection_score=+1,setvar:'tx.msg=%{rule.msg}',setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/RESTRICTED_SQLI_CHARS-%{matched_var_name}=%{tx.0}"

    正如您所看到的,此消息的邮件是不同的,因此您在白色列表中发出消息。 因此,为什么它不适合你。
    2021-03-20 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2023, All Rights Reserved