Regra do ModSecurity para não varrer o URI

2

Estou com dificuldades para criar uma nova regra 2.5 de segurança mod.

Minha implantação: Servidor Apache, Configurar como um proxy reverso. (por isso, o servidor web apache não hospeda o site. Em vez disso, faço proxy dos pedidos para outro servidor que atenda às solicitações da Web).

O servidor da web usa tokens de autenticação para reescrever o URL do website em um URL seguro.

75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

O problema:

O Modsecurity verifica atualmente o URI. Devido à natureza dos URIs aleatórios, muitos falsos positivos foram produzidos. Para evitar isso, desejo excluir todos os URIs da verificação.

Como a reescrita, o redirecionamento e o token de autenticação estão sendo gerados no servidor da Web (e como queremos mantê-lo), como informar a segurança de mod que esses cabeçalhos são legítimos e não analisá-los?

75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

 75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"
    
por Arlion 16.06.2015 / 15:16

1 resposta

0

Seguindo a resposta nos comentários sobre a pergunta original;

Em suma, não é possível negar o URI da inspeção, o ModSecurity é como outros produtos baseados em regras / assinaturas.

O que você pode fazer é obter o ID de regra para seus falsos positivos (no log de erros do apache para VirtualHost ) e executar um SecRemoveRuleById 123456 na configuração do seu apache. Isso permitirá remover os falsos positivos de sendo correspondido.

Eu sugiro que você faça o mais seletivamente possível por meio de uma diretiva LocationMatch ou similar

Por bate-papo, Hrvoje's mostra um exemplo ou um encadeamento de regras que pode ser útil

    
por 18.06.2015 / 16:24