mod_security仅阻止Internet Explorer

时间:2012-05-24 20:30:10

标签: apache mod-security2

我用一个apache服务器安装了mod_security,现在它只阻塞ie7 / 8/9浏览器。 (我可以使用firefox / chromium / etc浏览网页)

日志说:

Message: String match within "Proxy-Connection Lock-Token Content-Range Translate via if" at REQUEST_HEADERS_NAMES:Connection. [file "/etc/apache2/mod_security/modsecurity_crs_30_http_policy.conf"] [line "99"] [id "960038"] [msg "HTTP header is restricted by policy"] [data "Connection"] [severity "WARNING"] [tag "POLICY/HEADER_RESTRICTED"] [tag "POLICY/FILES_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/12.1"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A7"] [tag "PCI/12.1"]
Message: Access denied with code 403 (phase 2). [file "/etc/apache2/mod_security/modsecurity_crs_49_enforcement.conf"] [line "25"] [msg "Anomaly Score Exceeded (score 20): Common SPAM/Email Harvester crawler"]
Action: Intercepted (phase 2)
Stopwatch: 1337888078594451 2694 (918 2353 -)
Producer: ModSecurity for Apache/2.5.12 (http://www.modsecurity.org/); core ruleset/2.0.6.
Server: Apache

规则ID“960038”是:

SecRule REQUEST_HEADERS_NAMES "@within %{tx.restricted_headers}""phase:2,t:none,pass,nolog,auditlog,msg:'HTTP header is restricted by policy',id:'960038',tag:'POLICY/HEADER_RESTRICTED',tag:'POLICY/FILES_NOT_ALLOWED',tag:'WASCTC/WASC-21',tag:'OWASP_TOP_10/A7',tag:'PCI/12.1',tag:'WASCTC/WASC-15',tag:'OWASP_TOP_10/A7',tag:'PCI/12.1',severity:'4',logdata:'%{matched_var}',setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/HEADERS_RESTRICTED-%{matched_var_name}=%{matched_var}"

我有一个主要问题,另外两个来自第一个问题:

  • 我如何知道此规则的含义?
    • 忽略此规则是否安全?
    • 有没有办法修改规则以便允许ie浏览网页?

1 个答案:

答案 0 :(得分:1)

  1. 回答您的第一个问题Mod-Security为我们提供了一个非常好的解决方案 关于其规则语言和语法的详细文档 以下是其文档的链接。 ModSecurity Rule Language

  2. TX用于定义用户定义的变量 tx.restricted_headers 您的HTTP政策,如

    SecAction“阶段:1,t:none,nolog,pass,setvar:'tx.restricted_headers = / Proxy-Connection / / Lock-Token / / Content-Range / / Translate / / via / / if /'” 有关更多详细信息,请参阅此HTTP Policy

  3. 您上面提到的规则并没有阻止,但确实如此 增加针对可疑标题维持的数字值 我在上面解释的HTTP策略中提到的名称。

  4. 从提及的日志中看到阻止IE的规则

    消息:代码403拒绝访问(阶段2)。 [file“/etc/apache2/mod_security/modsecurity_crs_49_enforcement.conf”] [line“25”] [msg“超出异常分数(得分20):普通垃圾邮件/电子邮件收集器爬虫”]

    5. 您可以修改异常评分阈值或更改您的HTTP政策。您提到的规则是正确的,不需要评论。我希望您明白我的观点

相关问题
最新问题