如何排除 modsecurity corerule 集中的 url 编码规则

如何排除 modsecurity corerule 集中的 url 编码规则

问题很简单,由于某些特定需求,我希望我的 apache mod_security 与最新核心规则集 v3.3.0../以 url 编码形式允许,即它不应该..%2f在请求中阻止,它应该阻止,../我只是希望它允许..%2f

https://github.com/coreruleset/coreruleset/blob/v3.4/dev/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf

我尝试从核心规则集中的 lfi conf 文件中排除解码的有效负载规则 ID,但似乎不起作用,您能指导我如何做到这一点吗?

答案1

您无需更改 ModSecurity 自身的配置即可禁用 Apache 中的单个规则。这样您就可以在导致问题的特定上下文中禁用规则,例如每个 VirtualHost 或每个目录,使用SecRuleRemoveById

<ifmodule mod_security3.c>
    SecRuleRemoveById 930100 
</ifmodule>

最好将例外范围限制得尽可能窄,以便规则仍然可以保护应用程序的其他部分和同一服务器上的其他虚拟主机。

相关内容