我已经成功实施了 Modsecurity 防火墙。
但是我的团队面临一个与 Sql Injection & Xss 的防火墙规则相关的问题。
问题是。每当用户添加带有特殊字符的普通信息时,规则就可以执行并显示错误 403 禁止的页面。并且在 Apache 错误日志中得到了各种行号,即规则行。我评论了每条规则,例如规则号 (309,508) in modsecurity_crs_41_xss_attack.conf& (223,233,243,237,211,239,49,136) in modsecurity_crs_41_sql_injeciton.conf。
这是给我假阳性结果。
测试场景是
输入文本
仅剩8个席位!现在注册!
课程费用包括课程材料、实践培训、工作午餐、早餐、晚茶。
** 应事先要求提供免费住宿
如需住宿,请联系我们:+91 12345 67890 ====================================== ============ apache中的错误日志
Sahil:[Wed Mar 16 10:29:57.316380 2016] [:error] [pid 25001]ModSecurity:使用代码 403 拒绝访问(阶段 2)。模式匹配 "(?i:[\"\\'][ ](([^a-z0-9~_:\\' ])|(in)).+?\\(.?\\)) " 在 ARGS_NAMES:redirect:${#res=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#res.setCharacterEncoding("UTF-8"),#req=#context.get(' com.opensymphony.xwork2.dispatcher.HttpServletRequest'),#res.getWriter().print("dir:"),#res.getWriter().println(#req.getSession().getServletContext().getRealPath(" /")),#res.getWriter().flush(),#res.getWriter().close()}。[文件“/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_xss_attacks.conf”][行“ 506"] [id "973335"] [rev "2"] [msg "IE XSS 过滤器 - 检测到攻击。"
所以请您指导一下这个问题...