)
В настоящее время я пытаюсь создать список белых списков в modsecurity для своего приложения.
Чтобы уменьшить количество ложных срабатываний, я подумал о чем-то вроде этого: если пользователь вызывает более 10 сообщений об ошибках (сообщения безопасности мода), он будет заблокирован.
Возможно ли что-то подобное?
Почти. Например, вы не указали, какого рода сообщения об ошибках, и хотите ли вы, чтобы их было 10 в одном запросе или 10 за заданный период времени.
Существуют пороговые значения, которые вы можете установить в настройках CRS для mod_security, которые будут вызывать отклонения на основе общего балла; повышение/понижение этого порога установит уровень для отклонения одного запроса.
Если вы смотрите на 403 или отказы за определенный период времени, вы, вероятно, захотите погуглить «fail2ban mod_security», чтобы узнать, как настроить f2b для чтения файлов журнала mod_security и поместить нарушающий IP-адрес в «тюрьму» после достаточного количества нарушений.
