禁用ModSecurity的SQL注入规则
我一直试图禁用mod_security sql注入规则,将其添加到conf文件中
SecRuleRemoveById 981172
SecRuleRemoveById 981243
SecRuleRemoveById 981173
SecRuleRemoveById 981249
SecRuleRemoveById 981318
SecRuleRemoveById 981246
SecRuleRemoveById 981231但是似乎还有更多的规则,我是否可以在不添加每个规则id的情况下禁用sql注入规则?还是我走错路了。
我想禁用它的原因是,我试图安装IPS(论坛)和我所做的一切,无论是添加用户还是编辑类别,我都会得到一个由mod安全性引起的403个错误,错误通常表示post头或cookie中存在模式匹配。
编辑:这里有一个错误
Message: Access denied with code 403 (phase 2). Pattern match "(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" at ARGS:core_theme_setting_title_167. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "49"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: '#'>This found within ARGS:core_theme_setting_title_167: <h4>Mega Footer Links</h4>\x0d\x0a<ul class='footerLinks'>\x0d\x0a\x09<li><a href='http://www.ipsfocus.com'>IPS 4.x themes</a></li>\x0d\x0a\x09<li><a href='#'>This is a link list</a></li>\x0d\x0a\x09<li><a href='#'>This is a longer link inside of the list</a></li>\x0d\x0a\x09<li><a href='#'>This is a link list</a></li>\x0d\x0a</ul>"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]回答 1
Server Fault用户
发布于 2016-04-24 19:54:20
正确的方法是像你一直在做的那样,或者也许更好的方法是白名单上只列出那些引起你问题的争论:
SecRuleUpdateTargetById 981231 "!ARGS:core_theme_setting_title_167"正如您已经看到的,这可能需要一些时间来获得所有您需要的白名单。
当然,您应该在DetectionOnly模式下运行,并对规则进行微调,直到得到很少的规则(不是吗?)误报,并能舒适地切换到阻塞模式。看起来您已经在阻塞模式下运行了,因此我建议您切换回DetectionOnly,将其保留一个星期,检查日志,一次将所有误报规则白名单,然后再重复几次。这样做比一个接一个地追逐你的尾巴要好得多。
如果您真的想关闭所有SQL注入规则(它们非常容易引起过度警告!),您可以不包括这个文件:
/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf根据配置文件中ModSecurity的设置方式,这可以通过从activated_rules目录中删除该文件(或指向该文件的链接)来完成,因为(通常)该目录中的所有文件都包括在内。
当然,这意味着你没有这些规则的保护,对你来说有多大的问题,只有你可以判断。正如我所说的那样,这些规则需要一段时间才能进行调整,但SQL注入也是最常见和最危险的攻击之一。
或者,您可以完全关闭ModSecurity。就我个人而言,我发现它很方便,过去一直受到它的保护,但其他人认为,WAFs喜欢它比它们的价值更麻烦。
https://serverfault.com/questions/771968
复制相似问题
腾讯云开发者
