Apache Mod安全核心规则集问题

时间:2016-10-17 06:17:14

标签: apache mod-rewrite mod-security

在我的应用程序中,我已经实现了mod安全性,因为它是少数URL的通用,我已经阻止了特定位置(URL)的一些规则。但我是OWASP错误,网址低于URL,无法获取或找到阻止此URL规则的方法。

所以请帮我阻止以下问题的规则。错误日志如下。提前谢谢。

POST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 499
Host: accountingdev.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.4.1 (Java/1.8.0_72)
Cookie: FA512c3d57865ef2662e9b1421f5c4d8ad=3pr1b0illdbem2kq9f99kfrpn2
Accept-Encoding: gzip,deflate

--a42de647-C--
logoutRequest=%3Csamlp%3ALogoutRequest+xmlns%3Asamlp%3D%22urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Aprotocol%22+ID%3D%22LR-24-AHmvxyBBAudEaobzuTMpXrdPtmmVhiUU1ed%22+Version%3D%222.0%22+IssueInstant%3D%222016-10-14T17%3A20%3A00Z%22%3E%3Csaml%3ANameID+xmlns%3Asaml%3D%22urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Aassertion%22%3E%40NOT_USED%40%3C%2Fsaml%3ANameID%3E%3Csamlp%3ASessionIndex%3EST-47-zdTNWjTqaSAbtxbpBPca-abc.com%3C%2Fsamlp%3ASessionIndex%3E%3C%2Fsamlp%3ALogoutRequest%3E
--a42de647-F--
HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store
Pragma: no-cache
Location: https://portal.com/caa/login?service=https%3A%2F%2Faccountingdev..com%2F
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
csrf-token: D=20647 t=1476445738526589
Content-Length: 493
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

1 个答案:

答案 0 :(得分:0)

您可以编写如下规则:

SecRule REQUEST_METHOD "POST" "phase:1,id:1234,pass,log,chain"
    SecRule REQUEST_URI "/" "ctl:ruleEngine=Off"

对于对主页发出的任何POST请求(未经测试),这应该关闭ModSecurity。这当然非常广泛,可能会删除对您要检查的主页的其他POST请求的保护。

或者,您可以执行此操作以仅搜索此特定请求:

SecRule REQUEST_METHOD "POST" "phase:2,id:1234,pass,log,chain"
   SecRule REQUEST_URI "/"
       SecRule ARG_POSTS:logoutRequest "LogoutRequest" "ctl:ruleEngine=Off"

然而,这需要是第2阶段规则,以查看POST参数 - 这些参数位于BODY中,因此在阶段1中不可用。这可能意味着第1阶段规则在它甚至达到此规则之前就会触发。

更多更好的想法是调整正在触发的规则,但这涉及告诉我们您似乎犹豫不决的规则。所以,除非你这样做,否则无法帮助你。