como colocar na lista de permissões uma certa string de cookie no ModSecurity

Navegue suas respostas
3

Estamos recebendo muitos falsos positivos usando o software de 3ª parte em nosso servidor. Eles próprios não parecem consertá-lo e estou tentando descobrir como permitir cookies que contenham "CERTAINSTRING_"

Abaixo está um exemplo de uma das proibições. Eles são todos da mesma regra id 

www.mysite.com  27.33.154.111   981231  [15/Dec/2013:12:14:36 +1100]

Pattern match: \
"(/\*!?|\*/|[';]--|--[\s\r\n\v\f]|(?:--[^-]*?-)|([^\-&])#.*?[\s\r\n\v\f]|;?\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
      "description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
      "rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
      "description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]
    
por starchild 18.12.2013 / 00:02

1 resposta

3

Você pode usar o SecRuleUpdateTargetById para modificar a regra 

SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/

O que desativaria a regra que está causando problemas nos cookies de solicitação cujo nome começa com _CERTAINSTRING.

Atualização:

A regra acima precisa ser colocada após a definição da regra a qual ela se refere. Isto é normalmente feito através da criação de um arquivo que é lido após todas as regras do CRS, p. com base no local mencionado em sua mensagem de log de auditoria

/usr/local/apache/conf/modsecurity_crs_61_customrules.conf

    
por 18.12.2013 / 00:10

Tags

Prioridade de E / S por volume de LVM (cgroups) O proxy reverso do host virtual Apache2 reescreve os links de ativos