-1

我们有以下不起作用的规则,我们想将此警告列入白名单(在事件查看器中),它在 URI 中包含“testinguri”。

  1. SecRule REQUEST_URI "@contains testinguri\?op\=message" "id:200006,phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly,msg:'Test 1'"

  2. SecRule REQUEST_URI "@beginsWith /en-us/testinguri?op=message" "id:200007,phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly,msg:'Test 2'"

  3. SecRule REQUEST_URI "^/en-us/testinguri?op=message.*" "id:200008,phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly,msg:'Test 3'"

  4. SecRule REQUEST_URI "@contains testinguri" "id:200009,phase:1,nolog,allow,ctl:ruleEngine=DetectionOnly,msg:'Test 4'"

上面的规则是出于相同的目的,但如果任何版本的规则有效但没有运气,我们就会放它们。

下面是事件查看器中的警告,我们希望允许其中包含“testinguri”的 URI。它现在正在检测模式下运行。

ModSecurity:警告。运营商 GE 在 TX:inbound_anomaly_score 匹配 5。[file "C:\Program Files\ModSecurity IIS\owasp-modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf"] [line "86"] [id "980130"] [msg "Inbound Anomaly Score Exceeded (Total入站分数:5 - SQLI=0,XSS=0,RFI=0,LFI=0,RCE=5,PHPI=0,HTTP=0,SESS=0):远程命令执行:Windows 命令注入;个人偏执级别分数: 5, 0, 0, 0"] [tag "event-correlation"] [hostname "computerName"] [uri "/en-us/testinguri?op=message&to=FULL URI..."] [unique_id "454534234234234" ]

你能帮忙吗?谢谢。

4

1 回答 1

0

我们能够弄清楚。因此,创建了一个 conf 文件test.conf并将规则放入我们想要列入白名单的文件中。

然后在modsecurity_iis.conf文件中最后添加了这个文件引用。

这对我们有用。希望这会对某人有所帮助。谢谢。

于 2019-01-08T12:57:28.180 回答