主页 / server / 问题 / 1018795
Accepted
nnyby
Asked: 2020-05-27 10:49:37 +0800 CST

如何按主机名排除 ModSecurity 规则?

  • 772

我正在使用OWASP 核心规则集 3.2.0设置ModSecurity 3.0.4ModSecurity-nginx

如果我有这样的规则排除,在REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

 SecRule REQUEST_URI "@beginsWith /api.php" \
     "id:1015,\
     phase:2,\
     pass,\
     nolog,\
     ctl:ruleRemoveById=941160"

如何将此排除限制为特定主机名?例如,wiki.example.com

firewall web-application-firewall mod-security

2 个回答

  1. Best Answer

    使用REQUEST_HEADERS:Hostchained withREQUEST_URI可以解决问题,但如果有多个站点需要或不需要排除,则更难维护。因此,另一种解决方案是禁用虚拟主机的 Nginx 配置规则

    可以使用modsecurity_rules内部特定server&禁用某些规则location

    server {
    server_name wiki.example.com;
    modsecurity on;
    . . .

    location /api.php {
        modsecurity_rules '
            SecRuleRemoveById 941160
        ';
    }
}

    Apache也是如此,因为一些 Apache 用户稍后可能会根据其标题找到此问题。使用 Apache,您可以使用SecRuleRemoveById/modsecurity_rules指令

    • 内部VirtualHostLocationLocationMatch

      <VirtualHost *:443>
    ServerName wiki.example.com
    . . .

    <LocationMatch "^/api.php">
        <IfModule security2_module>
            SecRuleRemoveById 941160
        </IfModule>
        <IfModule security3_module>
            modsecurity_rules 'SecRuleRemoveById 941160'
        </IfModule>
    </LocationMatch>
</VirtualHost>

    • 或者,虽然不推荐,但即使使用.htaccess

      <IfModule security2_module>
    <If "%{REQUEST_URI} =~ m#^/api.php#">
        SecRuleRemoveById 941160
    </If>
</IfModule>

<IfModule security3_module>
    <If "%{REQUEST_URI} =~ m#^/api.php#">
        modsecurity_rules 'SecRuleRemoveById 941160'
    </If>
</IfModule>
    • 6

  2. 答案是REQUEST_HEADERS:Hostchain一起使用,如下所示:

     SecRule REQUEST_HEADERS:Host "wiki.example.com" \
     "id:1017,\
     phase:2,\
     pass,\
     nolog,\
     chain"
     SecRule REQUEST_URI "@beginsWith /api.php" \
         "ctl:ruleRemoveById= 941160"
    • 3

相关问题