Ich habe gerade mod_security auf meinem Apache2 Webserver installiert.mod_security rule 981203 falsch positiv
Ich aktiviert alle base_rules/
von OWASP CRS.
Ich fand ein falsches positives durch Blick in /var/log/apache2/modsec_audit.log
.
Die Ziel-URL ist:
/mobile//index.cfm?gclid=Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ
Das Fehlerprotokoll ist:
Nachricht: Warnung. Musterübereinstimmung "([\ ~ \! \ @ \ # \ $ \% \^\ & \ * \ (\) \ - \ + \ = \ {\} \ [\] \ | \: \; \" \\ xc2 \ xb4 \\ xe2 \ x80 \ x99 \\ xe2 \ x80 \ x98 \ `\ < \>]. *?) {4,}" bei ARGS: gclid. [Datei "/ usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf "] [line" 159 "] [id" 981173 "] [rev" 2 "] [msg" Eingeschränkter SQL-Charakter Anomalie-Erkennungsalarm - Gesamtzahl der Sonderzeichen überschritten " ] [data "Matched Daten: - gefunden innerhalb ARGS: gclid: Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ"] [ver "OWASP_CRS/2.2.8"] [Reif "9"] [Genauigkeit "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] Meldung: Warnung. Bediener LT entspricht 5 bei TX: inbound_anomaly_score. [Datei "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf"] [Zeile "33"] [ID "981203"] [msg "Inbound Anomaly Score (Gesamter Eingang Score: 3, SQLi = 1 , XSS = 0): Eingeschränkte SQL Zeichen Anomaly Detection Alert - Gesamtanzahl der Sonderzeichen überschritten "]
Die Botschaft selbsterklärend ist, aber ... das ist keine bösartige URL, für meine Website.
Wie kann ich diese Art von URLs "auf die weiße Liste setzen" (z. B. mit gclid-Parameter), statt die Regel 981203 vollständig zu deaktivieren?