Я только что установил mod_security на свой веб-сервер Apache2.
Я активировал все base_rules/
из OWASP CRS.
Я обнаружил ложное срабатывание, заглянув внутрь /var/log/apache2/modsec_audit.log
.
Целевой URL:
/mobile//index.cfm?gclid=Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ
Журнал ошибок:
Сообщение: Предупреждение. Соответствие шаблону "([\~\!\@\#\$\%\^\&\*\(\)\-\+\=\{\}\[\]\|\:\;\"\ '\\xc2\xb4\\xe2\x80\x99\\xe2\x80\x98\`\‹\>].*?){4,}" в ARGS:gclid. [file "/usr/share/modsecurity -crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [строка "159"] [id "981173"] [rev "2"] [msg "Предупреждение об обнаружении аномалий с ограниченным использованием символов SQL - превышено общее количество специальных символов"] [данные "Соответствует Данные: - найдено в ARGS:gclid: Cj0KEQjw_qW9BRCcv-Xc5Jn-26gBEiQAM-iJhcydtemGoKm4rCJ7gbEgz5qL-MXF0tMh5BkaxVPZPYwaAvhW8P8HAQ"] [версия "OWASP_CRS/2.2.8"] [зрелость "9"] [точность "WEASP_CRBACKS"] [тег "8"] "] Сообщение: Предупреждение. Оператор LT совпал с 5 в TX:inbound_anomaly_score. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_60_correlation.conf"] [строка "33"] [id "981203"] [msg "Inbound Оценка аномалии (общая оценка входящего трафика: 3, SQLi = 1, XSS = 0): Предупреждение об обнаружении аномалии символов SQL с ограничениями — превышено общее количество специальных символов"]
Сообщение говорит само за себя, но... это не вредоносный URL для моего веб-сайта.
Как я могу «внести в белый список» такие URL-адреса (например, содержащие параметр gclid) вместо полного отключения правила 981203?