Modifica a anomalia de segurança no log de auditoria

2

Configurei meu nível de pontuação de anomalia como 8 no meu CRS-setup.conf Quando reviso meu log de auditoria, vejo a seguinte entrada:

--f0d8a724-H--
Message: Warning. detected XSS using libinjection. [file "/etc/httpd/modsecurity.d/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "64"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data:  found within ARGS:page: /One-Initial-Bordered-Card?cross-sell=1"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"]
Apache-Error: [file "apache2_util.c"] [line 271] [level 3] [client %s] ModSecurity: %s%s [uri "%s"]%s
Apache-Handler: application/x-httpd-php
Stopwatch: 1512753208830562 28609 (- - -)
Stopwatch2: 1512753208830562 28609; combined=1561, p1=361, p2=888, p3=55, p4=215, p5=41, sr=54, sw=1, l=0, gc=0

Se eu ativar o meu SecRuleEngine em vez de depurar, o evento acima será bloqueado? Estou correto em assumir que esse evento não excedeu a pontuação de anomalia de 8 que teria permitido essa solicitação? Eu tenho outros eventos no meu log de auditoria que afirmam claramente que eles excedem o limite de 8, portanto, é uma suposição justa de que, a menos que o log de auditoria declare especificamente que excedeu o limite, que a solicitação NÃO seria bloqueada?

Se for esse o caso, existe uma maneira de configurar o log de auditoria para registrar apenas os eventos que seriam bloqueados no caso de o SecRuleEngine estar ativado? Eu não quero ver nenhuma correspondência parcial no meu log de auditoria que não exceda os níveis de limite.

    
por user3080539 14.12.2017 / 17:25

1 resposta

2

If I switch my SecRuleEngine to on instead of debug, would the above event be blocked? Am I correct to assume since that event did not exceed the anomaly score of 8 that it would have allowed this request? I have other events in my audit log which clearly state they exceed the threshold of 8, so is it a fair assumption that unless the audit log specifically states it exceeded the threshold, that the request would NOT be blocked?

Sim, isso está correto.

If that is the case, is there a way to configure the audit log to only log events which would be blocked in the event of SecRuleEngine being set to on? I do not want to see any partial matches in my audit log that do not exceed threshold levels.

Não, não existe. E esta é uma das principais razões pelas quais eu não gosto de pontuação no modo anomalia. Mesmo depois de ligá-lo, você verá esse ruído. A única maneira de saber se um ataque será bloqueado é se a verificação de anomalias for executada no final (IDs de regra 949110 - 949118) disparada.

    
por 15.12.2017 / 21:49