Доброе утро,
Я в настоящее время нахожусь на создании новой ультрасовременной безопасности 2,5 правила.
Мое развертывание: у Меня есть сервер Apache в обратном режиме прокси. Этот сервер Apache не размещает веб-сайты. Вместо этого я проксирую запросы к другому серверу, который отвечает на веб-запросы.
Веб-сервер использует аутентификационные маркеры для перезаписи URL веб-сайта к безопасному URL.
75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
Проблема:
Modsecurity в настоящее время сканирует URI. Из-за природы случайного URIs, много ложных положительных сторон было произведено. Для предотвращения этого я хочу освободить весь URIs от сканирования.
Начиная с переписывания перенаправление и аутентификационный маркер все сгенерированы на веб-сервере (И это, как мы хотим сохранить его), как я сообщаю ультрасовременной безопасности, что эти заголовки законны и не сканируют их?
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"
75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"
В конечном итоге мы решили эту проблему, используя другое правило не сканировать URI.
SecRuleUpdateTargetById 950120!ARGS:REQUEST_URI
Таким образом, это конкретное правило не будет сканировать URI, а будет сканировать оставшуюся часть пакета. Следует отметить, что это правило должно быть скопировано для каждого имеющегося правила.
.Насколько я знаю, нельзя игнорировать какую-либо конкретную часть запроса (будь то URI или любые параметры) из всех настроенных правил ModSecurity. Хотя это может быть полезно, это, скорее всего, откроет ряд дыр в безопасности.
Поэтому вам просто нужно посмотреть, какие правила являются неудачными, и добавить исключения из белого списка для этих правил.
Если вы приведете примеры некоторых неудачных правил, я, возможно, смогу посоветовать, как это сделать, если вам понадобится помощь в этом.
.