mod_security规则981172误报

时间:2019-03-21 16:41:54

标签: apache mod-security grav

运行Grav CMS时,CWP7.admin上Apache中的mod_security配置生成403 access denied错误:

  

[2019年3月21日星期四15:40:47.967502] [:错误] [pid 21727:tid 140715786946304] [客户端186.67.206.59:57900] [客户端186.67.206.59] ModSecurity:使用代码403(阶段2)拒绝访问。模式匹配“([[\\〜\\!\\ @ \\ ## \ $$ \\%\\ ^ \\&\\ * \\((\\)\\-\\ + \\ == \\ { \\} \\ [\\] \\ | \\ :: \\; \“ \\'\\\ xc2 \ xb4 \\\\ xe2 \ x80 \ x99 \\\ xe2 \ x80 \ x98 \\`\\\\\\ <\\>]。*?){8,}“,位于REQUEST_COOKIES:grav-tabs-state。[文件” /usr/local/apache/modsecurity-owasp-old/base_rules/modsecurity_crs_41_sql_injection_attacks.conf“] [第157行“” [id“ 981172”] [版本“ 2”] [msg“限制的SQL字符异常检测警报-超过了特殊字符的总数”“] [数据”在REQUEST_COOKIES:grav-tabs-state中找到匹配的数据:\ x22: {\ x22tab-content.options.advanced \ x22:\ x22data.content \ x22,\ x22tab-content.options \ x22:\ x22data.content \ x22,\ x22tab-content.options.advanced.blog \ x22:\ x22data .options \ x22}“] [ver” OWASP_CRS / 2.2.9“] [成熟度” 9“] [准确性” 8“] [标记” OWASP_CRS / WEB_ATTACK / SQL_INJECTION“] [主机名” xxxxxxxx.com“] [uri” /favicon.ico“] [unique_id” XJOwf0cQATwA6mgjE8O7AwAAANc“],引荐来源:http://xxxxxxxx.com/

此错误仅在第二次访问该网站时发生,因此很难解决。

1 个答案:

答案 0 :(得分:0)

检查日志后,我发现由mod_security生成的基于Grav CMS的网站的错误模式相同。 This answer by Barry Pollard guided my solution

该错误表明mod_security规则阻止了我的请求:

  

/ usr / local / apache / modsecurity-owasp-old / base_rules / modsecurity_crs_41_sql_injection_attacks.conf

对应的行

  

[第157行]

及其ID

  

[id“ 981172”]

使用Barry的建议,我在规则后添加了以下行:

SecRuleUpdateTargetById 981172 !REQUEST_COOKIES:grav-tabs-state

在这种情况下,我要让mod_security从规则981172中省略REQUEST_COOKIES:grav-tabs-state。这解决了这个问题。

衷心感谢@barrypollard