owasp - OWASP ModSecurity 核心规则集中的两个 SecDefaultAction

Question

我刚刚下载了 OWASP ModSecurity 核心规则集的最新版本 (2.2.9)。

在提供的“modsecurity_crs_10_setup.conf.example”中，有两个紧挨着的 SecDefaultAction 指令：

SecDefaultAction "phase:1,deny,log"
SecDefaultAction "phase:2,deny,log"

我认为一旦定义了新的 SecDefaultAction 指令，该指令将用于以下规则。因此我不明白这样做的目的是什么

SecDefaultAction "phase:1,deny,log"

是在之后立即定义另一个 SecDefaultAction 时。

谢谢，罗纳德

Answer 1

第二个动作是如果您在第 2 阶段而不是在第 1 阶段超过阈值会发生什么。

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#processing-phases