SecAuditLogParts 不工作:mod_security 继续记录响应主体

SecAuditLogParts 不工作:mod_security 继续记录响应主体

我已将 modsecurity.conf 中的 SecAuditLogParts 设置为仅记录 ABFH,但 modsecurity 审计日志仍继续记录 -E- 部分(响应正文),这导致审计日志过大。

我该怎么做才能禁用响应主体日志记录?

答案1

我想这是在你的规则中设置的。例如,OWASP CRS 中的很多规则都包含这个功能,可以使用 SecAuditLogParts 将正文明确记录到你定义的任何内容中:

ctl:auditLogParts=+E

您可以使用以下命令完全关闭正文响应,这样就不会记录该内容:

SecResponseBodyAccess Off

一方面,出于以下几个原因,我们值得推荐:

  1. 性能。扫描响应主体需要时间,并且当大多数主体都是静态 HTML 时,这没有多大意义。
  2. ModSecurity 和 GZIP 响应存在问题(尽管根据最近的一个帖子,这个问题可能已经取得了一些进展ModSecurity 用户邮件组。此处正在跟踪:https://github.com/SpiderLabs/ModSecurity/issues/944
  3. 正如您所发现的,填充日志文件。
  4. 可能会导致大量错误警报。

另一方面,扫描出站主体可以有助于识别信息泄露(源代码泄露和/或数据库访问漏洞),关闭此功能显然可以阻止这种情况。

最佳做法是默认关闭静态文件的 SecResponseBodyAccess,然后对应用程序生成的动态文件启用它,并减少规则以减少这些文件的错误警报。

我还假设您已将以下内容设置为仅在规则阻止时记录审计日志?

SecAuditEngine RelevantOnly

相关内容