问题标签 [mod-security2]

我需要阻止某个 URI 路径的 GET 请求。我正在使用异常模式，但我使用的是直接块规则，我无法让规则正常工作

示例GET /secure/test/bla/bla/ 示例https://bla.bla.com/secure/test/bla/bla?www.test.com

我可以用这样的 reg 表达式来写这个吗？

这些不起作用，我不知道为什么，我需要以不同的方式编写正则表达式吗？

在第二条规则中我需要添加"@rx吗？有什么区别"!@rx and @rx

我想知道是否有办法在 ModSecurity 中使用一条规则阻止多个 URL？我有一个包含 30 多个 URL 的列表，我想拒绝并记录下来。我知道我可以使用以下命令阻止单个 URL：

SecRule REQUEST_URI "/url/to/block" "phase:1,id:'1000001',log,noauditlog,deny,status:403"

我是否需要为每个 URL 编写规则，还是可以将它们都组合成同一个规则？

我想减少 Mod_sec ID 的配额之间的数字：[id "31231"]。一般来说，这并不困难，但是当我尝试从多个报告中提取所有 ID 时，例如：

我尝试了几个命令，例如：

和许多其他的，但它们不打印所需的 ID，而是包含额外的输出，因为模式被匹配了多次。一般来说，我可以做类似的事情：

cat asd | egrep -o "\"[0-9][0-9][0-9][0-9][0-9][0-9]\""然后再次切断输出，但这在 ID 不包含 6 个数字的情况下不起作用。

我不熟悉 awk、sed 和 egrep 的所有选项，似乎没有找到解决方案。

我想从上面的历史中打印的是：

000784

9

00263

有人可以帮忙吗。先感谢您。

我在 Joomla 中有一个网站，托管在我自己的 vps 上。我已经为 meta og 安装了插件，但在 facebook 上分享仍然给出 403 错误。我检查了 facebook 调试器，好像它无法解析 url（错误的 http 响应）。其他用于页面社交分析的工具可以正确显示页面和元数据，而其他社交分享器（如google+ ）效果很好。只有 facebook 分享器坏了。

我尝试过打开和关闭 gzip，但仍然禁止 403。 有人知道我怎样才能让它工作吗？提前致谢！

在我们当前的环境中，我们有一个面向 Internet 的 Web 应用程序，并且所有传入的流量都通过 apache 反向代理路由。在这个反向代理上，我们也配置了 ModSecurity。

现在，我们的一些入站请求具有 content-type=text/plain。所有这些请求都被 ModSec 规则集阻止，日志如下：

现在，如果我们想允许 text/plain 作为可接受的内容类型，我们应该如何添加它。我们已经有一个 conf 文件，我们在其中禁用/自定义了一些规则。我只是不知道如何添加这个。

PS：根据这篇文章（https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/208），这个问题已经修复，但我们将升级我们的规则集。

我有一个带有 apache 2.4 和 Maldetect、ClamAV 的 cPanel 服务器。我想在服务器上安装实时恶意软件扫描程序，以阻止黑客在服务器上上传恶意文件。我的意思是当有人上传文件时，apache 将使用 mod-security 2.9 调用扫描仪并扫描上传的文件。

如果它被发现为恶意软件 - 应该被拒绝。如果找到好的文件 - 应该上传到正确的目的地。

我尝试使用https://www.rfxn.com/appdocs/README.maldetect中所述的以下设置来执行此操作

但问题是所有文件都被拒绝这样做，即使是好的文件。上面的设置有什么问题吗？

以下是日志中的错误

我正在使用 mod security 来查找 post 参数中的特定值，并在出现重复时阻止请求。我正在使用 mod security 用户集合来做到这一点。问题是我的请求运行时间很长，因此单个请求可能需要 5 分钟以上。我假设的用户集合在第一个请求得到处理之前不会被写入磁盘。如果在执行第一个请求期间，另一个请求使用 post 参数的重复值进入，则第二个请求不会被阻止，因为该集合尚不可用。我需要避免这种情况。我可以在 mod 安全性中跨请求使用基于内存的共享集合吗？还有什么办法吗？片段如下：

我已使用以下说明安装了 Mod Security：https ://www.digitalocean.com/community/tutorials/how-to-set-up-modsecurity-with-apache-on-ubuntu-14-04-and-debian- 8

它似乎工作正常，但我似乎无法为 WordPress 登录创建异常。我已将以下内容添加到我的虚拟主机文件中：

我还尝试了以下方法：

以及两者的不同组合。

我正在运行 Ubuntu 16.04.2，但我想它与 14.04 相同，对吧？

我刚刚将 Apache Httpd 2.4.25 与 mod_security 2.9.1 集成。现在我收到了这个错误信息：

我不知道有什么问题。请帮我。谢谢。

我正在尝试评估和阻止某些 URI 没有给定 ARG 的 GET/POST 请求。

以下规则不验证“！@eq 1”行

（REQUEST_URI 和 REQUEST_HEADERS 在单独测试时按预期工作）

如果我编写如下所示的 SecRule，我可以同时验证“@eq1”和“！@eq1” ：

规则 id 999955 如何实现这一目标？

例子

curl --form cualquiera=ANY http://foo.bar/jwtpoc.showcaller [好]

但是对于这个：

curl --referer myReferer http://beta.reservhotel.com/win/owa/jwtpoc.showcaller [ NOTOK ]

不考虑规则SecRule &ARGS:cualquiera "@eq 1" "chain"并且此操作未被阻止

谢谢！