在modsecurity默认脚本中:
base_rules/modsecurity_crs_20_protocol_violations.conf
有一条规则,960011:
SecRule REQUEST_METHOD "^(?:GET|HEAD)$" \
"msg:'GET or HEAD Request with Body Content.',\
severity:'2',\
id:'960011',\
ver:'OWASP_CRS/2.2.9',\
rev:'1',\
maturity:'9',\
accuracy:'9',\
phase:1,\
block,\
logdata:'%{matched_var}',\
t:none,\
tag:'OWASP_CRS/PROTOCOL_VIOLATION/INVALID_HREQ',\
tag:'CAPEC-272',\
chain"
SecRule REQUEST_HEADERS:Content-Length "!^0?$"\
"t:none,\
setvar:'tx.msg=%{rule.msg}',\
setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},\
setvar:'tx.%{rule.id}-OWASP_CRS/PROTOCOL_VIOLATION/INVALID_HREQ-%{matched_var_name}=%{matched_var}'"
我只想禁用此规则的日志记录(它会产生太多的误报), 因此添加我自己的脚本
base_rules/z99_logging_suppress.conf
删除默认规则和创建新的相同规则 - 仅不记录:
SecRuleRemoveById 960011
SecRule REQUEST_METHOD "^(?:GET|HEAD)$" \
"msg:'GET or HEAD Request with Body Content.',\
severity:'2',\
id:'9960011',\
ver:'OWASP_CRS/2.2.9',\
rev:'1',\
maturity:'9',\
accuracy:'9',\
phase:1,\
block,nolog,\
logdata:'%{matched_var}',\
t:none,\
tag:'OWASP_CRS/PROTOCOL_VIOLATION/INVALID_HREQ',\
tag:'CAPEC-272',\
chain"
SecRule REQUEST_HEADERS:Content-Length "!^0?$"\
"t:none,\
setvar:'tx.msg=%{rule.msg}',\
setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},\
setvar:'tx.%{rule.id}-OWASP_CRS/PROTOCOL_VIOLATION/INVALID_HREQ-%{matched_var_name}=%{matched_var}'"
与原始规则的唯一区别是新ID 9960011 和 nolog 添加:
...
id:'9960011',\
...
block,nolog,\
...
但是当我使用这个附加规则重新启动httpd时,我收到错误:
AH00526: Syntax error on line 18 of /path/base_rules/z99_logging_suppress.conf:
ModSecurity: Execution phases can only be specified by chain starter rules.
同样的策略--- SecRuleRemoveById +然后用新的id重新创建它 - 适用于我尝试的所有其他默认规则,但不适用于此。
任何人都可以告诉我为什么会这样?
答案 0 :(得分:1)
它基本上说phase命令只能在链中的第一个规则中,而不能在构成链的一部分的后续规则中。
当您编写规则时,规则没有任何问题,阶段仅在第一个SecRule中指定。事实上,我已经在我的实例上尝试了它并且它有效。所以两件事中的任何一件都出了问题:
或者其他奇怪的事情正在发生!但我现在要用1或2: - )