我刚刚在我的服务器上安装了mod_security,但是每个页面都被禁止了一个错误。 我觉得规则是严格的,不是? 怎么可以改变它?
这是我日志上的最后一行
Message: Access denied with code 403 (phase 2). Pattern match "([\\~\\!\\@\\#\\$\\%\\^\\&\\*\\(\\)\\-\\+\\=\\{\\}\\[\\]\\|\\:\\;\"\\'\\\xc2\xb4\\\xe2\x80\x99\\\xe2\x80\x98\\`\\<\\>].*?){8,}" at REQUEST_COOKIES:_iub_cs-856516. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "157"] [id "981172"] [rev "2"] [msg "Restricted SQL Character Anomaly Detection Alert - Total # of special characters exceeded"] [data "Matched Data: \x22 found within REQUEST_COOKIES:_iub_cs-856516: {\x22consent\x22:true,\x22timestamp\x22:\x222016-02-25T03:39:02.641Z\x22,\x22version\x22:\x220.11.36.4\x22,\x22id\x22:856516}"] [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] Action: Intercepted (phase 2) Stopwatch: 1456371544053489 3619 (- - -) Stopwatch2: 1456371544053489 3619; combined=1721, p1=217, p2=1499, p3=0, p4=0, p5=5, sr=59, sw=0, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.7.7 (http://www.modsecurity.org/); OWASP_CRS/2.2.8. Server: Apache Engine-Mode: "ENABLED" 你可能链接到每一个mod_security规则。 把他们全部拿出来,尝试使用核心规则集。
如果这不起作用,请按照您真正希望规则运作的顺序逐一介绍并逐一介绍。 每增加一次,包括注册,都要对您的网站进行全面testing。
关于mod_security的教程应该经历这个。
由于包含随机文本和潜在的大量特殊字符,Cookie被臭名昭着的解雇了一些OWASP CRS规则。
你想添加这个configuration从这个规则白名单cookie:
SecRuleUpdateTargetById 981172!REQUEST_COOKIES:'/ ^ _ iub_cs。* /'
这应该在定义原始规则的文件被加载后在config中指定。
我想可能还有其他一些规则也在解雇,所以你可能需要添加一些像这样的调整。 您应该在DetectionOnly模式下运行,直到您将规则调整到您的站点所需的状态。 他们将需要调整。
这里有一些其他的post可能会帮助你加快ModSecurity:
希望有帮助,巴里