问题标签 [mod-security]

我们正在为 ModSecurity (mod_security) 寻找一些额外的规则 - 有 2 个商业选项，GotRoot 或来自 TrustWave 的新选项

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

我听说过 TrustWave，但没有听说过 GotRoot。然而，GotRoot 规则似乎在 Google 等上有更多提及 - 似乎 TrustWave 的规则仅在大约一个月前出现

我们将使用它们来保护电子商务网站

在设置 mod_security 之后，我得到了很多误报 [??]。我只在检测中运行它，所以还没有问题，但是一旦我需要它上线，这些过滤器就会开始阻止请求。

恐怕我不能 100% 理解这些过滤器的重要性，我在几乎每个域上都获得了 100 个过滤器，并且所有请求看起来都是合法的。

在这里做的最好的事情是什么？我应该禁用这些过滤器吗？我可以将严重性设置得较低以便不会阻止请求吗？

这是一个完整的条目

我正在将用ColdFusion编写的旧 Web 应用程序移动到PHP5。旧应用程序使用 cookie，因此很多用户在他们的浏览器中获取了它。

域是相同的，因此 PHP5 在 auto-global 中获取旧 cookie，$_COOKIE换句话说，结果print_r( $_COOKIE )如下所示：

总体上没问题，除了应用程序防火墙ModSecurity2：自动加载 $_COOKIES 防火墙将其检测为邪恶。之前与误报 SQL 注入，然后与一些 XSS 攻击匹配。

我可以禁用这些规则，但不是最好的解决方案（我认为）。

如何检查 ColdFusion cookie 是否存在？如何在不自动加载的情况下从用户浏览器中删除旧 cookie？

谢谢。

我已经安装了 mod security 2.5.12 我收到了错误 403 Forbidden for some php file 所以这是误报我想禁用这个特殊警告的规则所以有人能告诉我我怎么知道这个错误的规则国防部安全文件？？

我刚刚阅读了称为 HashDoS 的新技术 DoS。有关它的详细信息，https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

这种 DoS 技术 POST 大量参数并触发哈希表算法的更坏情况。Web 服务器将花费更多时间来完成这项工作。

他们说：

因此，您可以使用千兆互联网连接让大约 10.000 个 Core i7 CPU 内核忙于处理 PHP 请求。或者，对于 ASP.NET，30,000 个 Core2 CPU 内核，或者对于 Java Tomcat 100,000 个 Core i7 CPU 内核，或者对于 CRuby 1.8，1,000,000 个 Core i7 CPU 内核，可以通过单个千兆连接保持忙碌。

所以，我想限制我公司网站的 POST 内容中的参数数量。我知道 modsecurity 可以做到这一点，但我不熟悉 modsecurity。

提前致谢。

我一生都无法阅读正则表达式。
有人有时间帮我弄清楚为什么我的主机上次更新时突然触发了 mod_security 吗？

我收到这个 mod_security 错误：

消息：使用代码 406（第 2 阶段）拒绝访问。REQUEST_HEADERS:Cookie 的模式匹配“ \b(\d+) ?= ?\1\b|[\'"](\w+)[\'"] ?= ?[\'"]\2\b”。[file "/usr/local/apache/conf/modsec2.user.conf"] [line "94"] [id "959901"] [msg "SQL Injection Attack"] [data "1=1"] [severity" CRITICAL"] [标签 "WEB_ATTACK/SQL_INJECTION"]

这是生成此错误的记录的 cookie 之一：

饼干：pmr=9d800ab159baf3962d1c777225b4b632；pmr_referrer=http%3A%2F%2Frateyourmusic.com%2Fadmin%2Fcoraq%2F%3F1%3D1%26status%3Dw%26show%3D10%26start%3D7020; __utma=229707933.920390620.1326769663.1326769663.1326769663.1；__utmb=229707933.1.10.1326769663; __utmc=229707933; __utmz=229707933.1326769663.1.1.utmcsr=rateyourmusic.com|utmccn=(推荐)|utmcmd=推荐|utmcct=/admin/corq/

这是因为“admin”在 cookie 中而触发吗？？？

这是另一个...

饼干：ui-tabs-1=1；superBAGUS=af14474b9bcc7ec3ae436e58ba172520; superBAGUS_referrer=...; superBAGUS_admin=2%3A747167a9cd89703dbfafe3c7a5c523b4; acco=acco_1; superBAGUS_adviews=.2576.2580.; __utma=10910262.1479346800.1326871079.1326871079.1326873539.2；__utmb=10910262.10.8.1326873800604; __utmc=10910262; __utmz=10910262.1326871079.1.1.utmcsr=(直接)|utmccn=(直接)|utmcmd=(无)

这是因为“ui-tabs-1=1”看起来像 1=1 注入而触发的吗？？？

这个模式匹配到底是什么？

尝试保存包含一些可能类似于 sql 查询的文本的文件时，我收到 500 内部服务器错误。所以 ModSecurity 阻止了它：

所以我在文件夹 /app/3/admin/modules/product/ 上创建了一个 .htaccess 文件

但这也不能解决问题。我仍然在 apache 的日志文件中收到带有日志条目的 500 代码。

知道为什么这可能不起作用吗？

我正在使用 mod_security 2.6.3，我希望能够根据规则严重性级别执行 shell 脚本。我正在使用核心规则集 (CRS)，它在检测到攻击时将严重性级别设置为 2（表示“严重”）。

只要严重性足够高，我想执行我的脚本。

我尝试使用该SecDefaultAction设置，例如：

但是由于“执行”操作是“非破坏性”操作，因此无论触发关键规则还是非关键规则，它总是会被执行。

我可以检查每个关键SecRule并在其旁边添加“exec”，但这会很乏味（并且重复且丑陋）。

我以为我可以做类似的事情：

但不知何故，它永远不会被执行，可能是因为关键规则有一个阻止或拒绝语句来停止规则处理（因为被认为是破坏性的）。

我还尝试使用 CRS 异常评分功能，如下所示：

但它仍然没有得到处理。关于我如何做到这一点的任何想法？

modsecurity 有没有 Apache 的 nginx 或 Tomcat 模块？

我开发了一个同步。基于C#的软件。它从数据库中读取一些值并将字符串作为 url。然后使用 WebClient 调用 url 并传递带有值的 url。在服务器上，我编写了一个使用 $_GET 来获取值的 php 页面，然后将它们插入到 mysql 数据库中...对于第一个记录，这是可行的，但在那之后我的程序以 406-Not Acceptable 异常结束。经过一些搜索，我知道问题中的 modsecurity。我尝试禁用它。所以，我将这些行添加到 .htaccess 文件中：

但它不起作用......我尝试解决这个问题，我发现我的 cpanel 是 cpanel 加速 2......所以我将代码更改为：

但是现在，有了这个改变，我的所有页面都无法正常工作，我收到错误 500 ......现在我喜欢有人帮助我......