从图像文件中剥离 cookie？

Question

LUser

Asked: 2015-11-21 14:55:11 +0800 CST2015-11-21 14:55:11 +0800 CST 2015-11-21 14:55:11 +0800 CST

modsecurity 将某些类型的 cookie 列入白名单

772

我看到在我们的服务器上生成的 cookie 似乎来自站点中的第 3 方对象，并且在登录或浏览站点时不会显示自己。

cookie 是随机的，但都以 Wm 开头。所以其中一些可能是 wm_cm_12345-12345-12345-12345，其中一些可能是 wm-wtchd-22。我在想，如果他们是 Wm*，也许我可以让他们不警觉。

如何将 Wm 开头的 cookie 列入白名单？

以及您可能想要包含的任何其他想法，我如何将这些想法列入白名单？

谢谢

一个示例 cookie

TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_rx_123456eabcdef7890_0edb4989-1523-ff12-ccab-beddddaaffccc. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 41, SQLi=9, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \\x22:61"] [hostname "Somefoowebsite.com"] [uri "/images/nyancat.jpg"]

我所看到的另一个例子：

[30/Nov/2015:13:54:27 --0700] [bumblebeetune.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:[30/Nov/2015:13:54:27 --0700] [bumblebeetuna.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_ct_877bb6e0e4744fd6a270f70f3e0c8a67_d464ab47-3cf0-fe3f-89d5-bd785f7bdcfa. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]

1 个回答

Voted

Barry Pollard · Answer 1 · 2015-11-22T07:07:41+08:00

你可以做你想做的事，你可以像这样添加配置（详见此处）：

SecRuleUpdateTargetById 981243 !REQUEST_COOKIES:'/^wm.*/'

事实上，这已经内置在一些常规 cookie 中，该规则错误地将其标记为误报（谷歌分析使用的 __utm 和类似分析软件使用的 _pk_ref），正如您在查看原始规则的规则定义时所看到的那样标记：

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "(?i:(?:[\"' ´’‘]\s*?\*.+(?:x?or|div|like|between|and|id)\W*?[\"'´'']\d)|(?: \^[\"' ´’‘])|(?:^[\w\s\"'´''-]+(?<=and\s)(?<=or|xor|div|like|between|and\s)(?<=xor\s)(?<= nand\s)(?<=not\s)(?<=\|\|)(?<=\&\&)\w+()|(?:[\"' ´’‘][\s\d]*?[^\w\s]+\W*?\d\W*?.*?[\"'´''\d])| (?:[\"' ´’‘]\s*?[^\w\s?]+\s*?[^\w\s]+\s*?[\"''''])|(?:[\"' ´’‘]\s*?[^\w\s]+\s*?[\W\d].*?(?:#|--))|(?:[\"'''']. ?*\s ?\d)|(?:[\"'´’‘]\s*?(x?or|div|like|between|and)\s[^\d]+[\w-]+.*?\d)|(?:[()\*<>%+-][\w-]+[^\w\s]+[\"''''][^,]))" "phase:2,capture,t:none,t:urlDecodeUni,block,msg:'检测经典SQL注入探测2/2',id:'981243',tag:' OWASP_CRS/WEB_ATTACK/SQL_INJECTION',logdata:'匹配数据: %{TX.0} 在 %{MATCHED_VAR_NAME} 中找到: %{MATCHED_VAR}',severity:'2',setvar:'tx.msg=%{rule.id }-%{rule.msg}',setvar:tx.sql_injection_score=+1,setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:'tx.%{tx.msg}-OWASP_CRS/WEB_ATTACK/SQLI -%{matched_var_name}=%{tx.0}'"

现在，如果您能计算出我们的那个正则表达式，那么您就是一个比我更好的人，但是您可以在开始时看到它适用于哪些 cookie 的配置。

请注意，最好添加上述配置以动态修改规则，而不是编辑规则本身，因为升级您的规则将覆盖任何编辑，而可以保留覆盖（假设它们位于升级后仍然存在的单独覆盖文件中）。

modsecurity 将某些类型的 cookie 列入白名单

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

modsecurity 将某些类型的 cookie 列入白名单

1 个回答

相关问题