2016-08-09 64 views
0

Ich habe gerade mod_security auf meinem Apache2 Webserver installiert.mod_security rule 981203 falsch positiv

Ich aktiviert alle base_rules/ von OWASP CRS.

Ich fand ein falsches positives durch Blick in /var/log/apache2/modsec_audit.log.

Die Ziel-URL ist:

/mobile//index.cfm?gclid=Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ

Das Fehlerprotokoll ist:

Nachricht: Warnung. Musterübereinstimmung "([\ ~ \! \ @ \ # \ $ \% \^\ & \ * \ (\) \ - \ + \ = \ {\} \ [\] \ | \: \; \" \\ xc2 \ xb4 \\ xe2 \ x80 \ x99 \\ xe2 \ x80 \ x98 \ `\ < \>]. *?) {4,}" bei ARGS: gclid. [Datei "/ usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf "] [line" 159 "] [id" 981173 "] [rev" 2 "] [msg" Eingeschränkter SQL-Charakter Anomalie-Erkennungsalarm - Gesamtzahl der Sonderzeichen überschritten " ] [data "Matched Daten: - gefunden innerhalb ARGS: gclid: Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ"] [ver "OWASP_CRS/2.2.8"] [Reif "9"] [Genauigkeit "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] Meldung: Warnung. Bediener LT entspricht 5 bei TX: inbound_anomaly_score. [Datei "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf"] [Zeile "33"] [ID "981203"] [msg "Inbound Anomaly Score (Gesamter Eingang Score: 3, SQLi = 1 , XSS = 0): Eingeschränkte SQL Zeichen Anomaly Detection Alert - Gesamtanzahl der Sonderzeichen überschritten "]

Die Botschaft selbsterklärend ist, aber ... das ist keine bösartige URL, für meine Website.

Wie kann ich diese Art von URLs "auf die weiße Liste setzen" (z. B. mit gclid-Parameter), statt die Regel 981203 vollständig zu deaktivieren?

Antwort

1

Sie können diese Konfiguration hinzufügen, nachdem Sie die anderen Regeln definiert haben:

SecRuleUpdateTargetById 981203 !ARGS:'gclid' 

aber ich viele falsch positive Ergebnisse mit dieser Regel sehen, so dass es oft völlig auszuschalten. Das OWASP CRS ist anfällig für übermäßige Alarmierung und erfordert viel Tuning.

diesen Beitrag sehen für andere vorgeschlagene gemeinsame Regel zwickt: Modsecurity: Excessive false positives