我们有以下不起作用的规则,我们想将此警告白名单(在事件查看器中),该警告在URI中包含“ testinguri”。
SecRule REQUEST_URI“ @contains testinguri \?op \ = message”“ id:200006,phase:1,nolog,allow,ctl:ruleEngine = DetectionOnly,msg:'Test 1'”
< / li>SecRule REQUEST_URI“ @beginsWith / en-us / testinguri?op = message”“ id:200007,phase:1,nolog,allow,ctl:ruleEngine = DetectionOnly,msg:'Test 2'”
SecRule REQUEST_URI“ ^ / zh-cn / testinguri?op = message。*”“ id:200008,phase:1,nolog,allow,ctl:ruleEngine = DetctionOnly,msg:'Test 3'” < / p>
SecRule REQUEST_URI“ @contains testinguri”“ id:200009,phase:1,nolog,allow,ctl:ruleEngine = DetectionOnly,msg:'Test 4'”
以上规则是出于相同的目的,但是如果该规则的任何版本有效但没有运气,我们都会将其放入。
以下是事件查看器中的警告,我们希望允许其中包含“ testinguri”的URI。它现在正在检测模式下运行。
ModSecurity:警告。运营商GE在TX:inbound_anomaly_score上匹配了5。 [文件“ C:\ Program Files \ ModSecurity IIS \ owasp-modsecurity-crs / rules / RESPONSE-980-CORRELATION.conf”] [第86行] [id“ 980130”] [msg“超出了入站异常分数(入站总分数:5-SQLI = 0,XSS = 0,RFI = 0,LFI = 0,RCE = 5,PHPI = 0,HTTP = 0,SESS = 0):远程命令执行:Windows命令注入;个别妄想症级别得分:5、0、0、0“] [标签”事件相关“] [主机名”计算机名“] [uri” / zh-cn / testinguri?op = message&to =完整URI ...“] [unique_id” 454534234234234“]
请帮忙。谢谢。
答案 0 :(得分:0)
我们能够弄清楚。因此,创建了一个conf文件test.conf,并在其中添加了我们要列入白名单的规则。
然后在modsecurity_iis.conf文件中最后添加了此文件引用。
这对我们有用。希望这会帮助某人。谢谢。