我正在编写一个使用ModSec规则的工具来分析服务器日志中的GET请求。我在这里阅读了文档,但是不确定到底需要传递给正则表达式(整个GET请求还是只是查询字符串):
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-(v2.x)#ARGS
对于诸如'XSS Filters - Category 3'之类的过滤器,这些详细信息位于正则表达式之前:
SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|REQUEST_HEADERS:User-Agent|ARGS_NAMES|ARGS|XML:/*
是否应使用正则表达式检查查询字符串或整个GET请求(即GET /xxx/xxx/xxx/?x=xxxxx HTTP/1.1)是否匹配?我的解释是,因为包含了“ ARGS”变量,它是前者吗?