Обнаруживает связанные попытки SQL-инъекций 1/2 дюйма в файле cookie PHPSESSID.

У нас установлен ModSecurity на нашем сервере приложений, и иногда запрос блокируется, потому что ModSecurity обнаруживает SQL-инъекцию в файле cookie PHPSESSID.

GET /somepage.php HTTP/1.1
Хост: www.domain.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:26.0) Gecko/20100101 Firefox/26.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=peu4e3ftt241orq5nbnuc6ocs4
Соединение: keep-alive

Сообщение: Доступ запрещен с кодом 403 (фаза 2). [файл "C:/Program Files/Apache Software Foundation/Apache2.2/conf/extra/modsecurity_crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [строка "539"] [id "981248"] [msg "Обнаруживает попытки внедрения SQL в цепочку 1/2"] [данные "241or"] [серьезность "CRITICAL"] [тег "WEB_ATTACK/SQLI"] [тег "WEB_ATTACK/ID"]

Что рекомендуется, чтобы избежать этого ложного срабатывания?


php owasp false-positive mod-security
person Jonathan Delgado    schedule 09.01.2014    source источник
comment
Почему в файле cookie есть теги <strong>?   -  person 735Tesla    schedule 09.01.2014
comment
Я просто пытаюсь отформатировать подстроку cookie для указания ошибки, но не работает.   -  person Jonathan Delgado    schedule 09.01.2014
comment
Хорошо, я думаю, вы правы, и это может быть часть or   -  person 735Tesla    schedule 09.01.2014
comment
Я бы скептически отнесся к тому, что безопасность мода блокирует любой запрос, содержащий «или»... кажется очень склонным к ложным срабатываниям.   -  person Mike B    schedule 09.01.2014
comment
Я так и думал, пока не посмотрел на предупреждение и не увидел `[данные 241или]`   -  person 735Tesla    schedule 10.01.2014

Ответы (1)


arrow_upward
1
arrow_downward

Удалите это правило. Если вы будете использовать все правила modsecurity crs, будет так много ложных срабатываний.

person Wei    schedule 10.01.2014