Modsecurity是在响应正文中查找数据泄漏问题的好工具。对于我当前的项目,我想检测通过配置为SecResponseBodyLimit设置的响应主体大小且响应主体的操作大于此限制设置为ProcessPartial的数据泄漏问题。
这可以按预期工作,但是,我想记录大于设置限制的响应。有什么办法吗?
答案 0 :(得分:0)
只要响应大小超过OUTBOUND_DATA_ERROR中配置的设置,ModSecurity就会将名为1的变量设置为SecResponseBodyLimit。因此,可以使用检查此变量的简单规则来达到要求。
示例:
SecRule OUTBOUND_DATA_ERROR "@eq 1" "id:124,phase:4,t:none,log,msg:'DATA_OVERFLOW'"