Question

我已经安装了几个月的ModSecurity和Core OWASP规则集ver.2.2.5，但网站上的JSON端点最近停止响应，并且Apache日志获得以下内容：

[Tue Jul 21 10:41:12 2015] [错误] [client 194.54.11.146] ModSecurity：   警告。匹配＆＃34; streq％{SESSION.IP_HASH}＆＃34;反对＆＃34; TX：ip_hash＆＃34;   需要。 [文件   ＆＃34; /etc/modsecurity/activated_rules/modsecurity_crs_16_session_hijacking.conf"]   [line＆＃34; 35＆＃34;] [id＆＃34; 981059＆＃34;] [msg＆＃34;警告 - Sticky SessionID数据   已更改 - IP地址不匹配。＆＃34;] [主机名＆＃34; ************＆＃34;] [uri   ＆＃34; / api / campaigns / d3c735cb-0773-11e4-98bd-02f651afdab5＆＃34;] [unique_id   ＆＃34; Va4hyKwfKiYAAAYSLigAAAAJ＆＃34;]

[Tue Jul 21 10:41:12 2015] [错误] [client 194.54.11.146] ModSecurity：   警告。匹配＆＃34; streq％{SESSION.UA_HASH}＆＃34;反对＆＃34; TX：ua_hash＆＃34;   需要。 [文件   ＆＃34; /etc/modsecurity/activated_rules/modsecurity_crs_16_session_hijacking.conf"]   [line＆＃34; 36＆＃34;] [id＆＃34; 981060＆＃34;] [msg＆＃34;警告 - Sticky SessionID数据   已更改 - 用户代理不匹配。＆＃34;] [主机名＆＃34; ************＆＃34;] [uri   ＆＃34; / api / campaigns / d3c735cb-0773-11e4-98bd-02f651afdab5＆＃34;] [unique_id   ＆＃34; Va4hyKwfKiYAAAYSLigAAAAJ＆＃34;]

[Tue Jul 21 10:41:12 2015] [错误] [client 194.54.11.146] ModSecurity：   警告。运营商EQ在TX处匹配2：sticky_session_anomaly。 [文件   ＆＃34; /etc/modsecurity/activated_rules/modsecurity_crs_16_session_hijacking.conf"]   [line＆＃34; 37＆＃34;] [id＆＃34; 981061＆＃34;] [msg＆＃34;可能的会话劫持 - IP   地址和用户代理不匹配。＆＃34;] [主机名＆＃34; ************＆＃34;] [uri   ＆＃34; / api / campaigns / d3c735cb-0773-11e4-98bd-02f651afdab5＆＃34;] [unique_id   ＆＃34; Va4hyKwfKiYAAAYSLigAAAAJ＆＃34;]

[Tue Jul 21 10:41:12 2015] [错误] [client 194.54.11.146] ModSecurity：   警告。匹配＆＃34; rx ^％{tx.allowed_request_content_type} $＆＃34;反对   ＆＃34; TX：0＆＃34;需要。 [文件   ＆＃34; /etc/modsecurity/activated_rules/modsecurity_crs_30_http_policy.conf"]   [line＆＃34; 64＆＃34;] [id＆＃34; 960010＆＃34;] [msg＆＃34;不允许请求内容类型   policy＆＃34;] [data＆＃34; application / json＆＃34;] [severity＆＃34; WARNING＆＃34;] [tag   ＆＃34; POLICY / ENCODING_NOT_ALLOWED＆＃34;] [tag＆＃34; WASCTC / WASC-20＆＃34;] [tag   ＆＃34; OWASP_TOP_10 / A1＆＃34;] [tag＆＃34; OWASP_AppSensor / EE2＆＃34;] [tag＆＃34; PCI / 12.1＆＃34;]   [主机名＆＃34; ************＆＃34;] [uri   ＆＃34; / api / campaigns / d3c735cb-0773-11e4-98bd-02f651afdab5＆＃34;] [unique_id   ＆＃34; Va4hyKwfKiYAAAYSLigAAAAJ＆＃34;]

我是mod_security和OWASP规则的新手（我基本上遵循了指南here），但据我了解，规则得分，如果请求超过了阈值，则会对其进行核查。我认为这就是我在这里看到的。

最后一个是关注我的那个 - ＆＃34; application / json＆＃34;当然应该被允许。从/etc/modsecurity/modsecurity_crs_10_setup.conf看，我看到了：

setvar:'tx.allowed_request_content_type=application/x-www-form-urlencoded|multipart/form-data|text/xml|application/xml|application/x-amf'

我的问题是： 1.我可以在这里添加application / json以使错误消失吗？这是正确的方法吗？

Answer 1

是的你可以这样读：

setvar:'tx.allowed_request_content_type=application/x-www-form-urlencoded|multipart/form-data|text/xml|application/xml|application/x-amf|application/json'

是的，这是正确的方法。

核心OWASP ModSecurity - 允许JSON

1 个答案: