目前,我正在使用 Modsecurity XSS 预防,但我很难理解如何准确地限制我在变量中检查的内容REQUEST_URI
。
我的例子:
#
# -=[ XSS Filters - Category 3 ]=-
# XSS vectors making use of Javascripts URIs, e.g., <p style="background:url(javascript:alert(1))">
#
SecRule REQUEST_URI|ARGS "(?i)((?:=|U\s*R\s*L\s*\()\s*[^>]*\s*S\s*C\s*R\s*I\s*P\s*T\s*:|:|[\s\S]allowscriptaccess[\s\S]|[\s\S]src[\s\S]|[\s\S]data:text\/html[\s\S]|[\s\S]xlink:href[\s\S]|[\s\S]base64[\s\S]|[\s\S]xmlns[\s\S]|[\s\S]xhtml[\s\S]|[\s\S]style[\s\S]|<style[^>]*>[\s\S]*?|[\s\S]@import[\s\S]|<applet[^>]*>[\s\S]*?|<meta[^>]*>[\s\S]*?|<object[^>]*>[\s\S]*?)" "id:'973338',phase:2,t:none,rev:'1',ver:'OWASP_CRS/2.2.9',maturity:'1',accuracy:'8',t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,log,capture,tag:'OWASP_CRS/WEB_ATTACK/XSS',tag:'WASCTC/WASC-8',tag:'WASCTC/WASC-22',tag:'OWASP_TOP_10/A2',tag:'OWASP_AppSensor/IE1',tag:'PCI/6.5.1',msg:'XSS Filter - Category 3: Javascript URI Vector',logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',severity:'2',setvar:'tx.msg=%{rule.msg}',setvar:tx.xss_score=+%{tx.critical_anomaly_score},setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/XSS-%{matched_var_name}=%{tx.0}"
在上面的例子中,正则表达式检查某些标签,如果发现,则停止请求,记录尝试,然后抛出 403 禁止。
一切都很好,但我有一个特定的 URL,如下所示:
/chart.php?this=haha&style=testStyle
这&style=
使得 ModSecurity 抛出错误并停止请求。
style=
同样,他们有一条规则,只检查
所以我的问题是,我怎样才能改变REQUEST_URI
(在 ModSecurity 规则中),以便规则只检查之前的所有内容?
(请求参数)。
答案1
建议您不要直接编辑 OWASP CRS 规则本身,而是添加额外的规则来调整它们。这样您就可以升级 CRS 并保留规则。您可以在加载所有 OWASP CRS 规则文件后添加以下配置来调整此规则:
SecRuleUpdateTargetById 973338 REQUEST_FILENAME REQUEST_URI
但是,这会减少所有请求的此规则,而您可能只想针对这一个 URL 执行此操作,在这种情况下,更好的方法可能是在加载 OWASP CRS 规则文件之前添加以下规则,仅针对此 URL 关闭此规则(请注意,id 需要是唯一的,因此如果您已经有规则 1,则在此处选择一个唯一的 if):
SecRule REQUEST_FILENAME chart.php "phase:2,nolog,id:1,ctl:ruleRemoveById=973338,pass"
是的,在你问之前,指定了一些覆盖是令人讨厌的后需要指定使用 ctl 的规则和其他规则前。
如果您要禁用多个规则,则可以使用如下语法:
SecRule REQUEST_FILENAME chart.php "phase:2,nolog,id:1,ctl:ruleRemoveById=973338,ctl:ruleRemoveById=973306,pass"