目前,我正在使用 Modsecurity XSS 预防,但我很难理解如何准确地限制我在REQUEST_URI变量中检查的内容。
我的例子:
#
# -=[ XSS Filters - Category 3 ]=-
# XSS vectors making use of Javascripts URIs, e.g., <p style="background:url(javascript:alert(1))">
#
SecRule REQUEST_URI|ARGS "(?i)((?:=|U\s*R\s*L\s*\()\s*[^>]*\s*S\s*C\s*R\s*I\s*P\s*T\s*:|:|[\s\S]allowscriptaccess[\s\S]|[\s\S]src[\s\S]|[\s\S]data:text\/html[\s\S]|[\s\S]xlink:href[\s\S]|[\s\S]base64[\s\S]|[\s\S]xmlns[\s\S]|[\s\S]xhtml[\s\S]|[\s\S]style[\s\S]|<style[^>]*>[\s\S]*?|[\s\S]@import[\s\S]|<applet[^>]*>[\s\S]*?|<meta[^>]*>[\s\S]*?|<object[^>]*>[\s\S]*?)" "id:'973338',phase:2,t:none,rev:'1',ver:'OWASP_CRS/2.2.9',maturity:'1',accuracy:'8',t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,log,capture,tag:'OWASP_CRS/WEB_ATTACK/XSS',tag:'WASCTC/WASC-8',tag:'WASCTC/WASC-22',tag:'OWASP_TOP_10/A2',tag:'OWASP_AppSensor/IE1',tag:'PCI/6.5.1',msg:'XSS Filter - Category 3: Javascript URI Vector',logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',severity:'2',setvar:'tx.msg=%{rule.msg}',setvar:tx.xss_score=+%{tx.critical_anomaly_score},setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/XSS-%{matched_var_name}=%{tx.0}"
在上面的示例中,正则表达式检查某些标签,如果找到,则停止请求,记录尝试,然后抛出 403 禁止。
没关系,但我有一个特定的 URL,看起来像这样:
/chart.php?this=haha&style=testStyle
在哪里&style=使 ModSecurity 引发错误并停止请求。
同样,他们有一个规则来检查 just style=,
所以我的问题是,我怎样才能REQUEST_URI以某种方式(在 ModSecurity 规则内)进行更改,以便规则只检查?(查询字符串)之前的所有内容。
您可以使用REQUEST_FILENAME变量而不是REQUEST_URI。
建议您不要直接编辑 OWASP CRS 规则本身,而是添加额外的规则来调整它们。这允许您升级 CRS 并仍然保留您的规则。在这里,您可以在加载所有 OWASP CRS 规则文件后添加以下配置来调整此规则:
但是,当您可能只想对这个 URL 执行此操作时,这将减少所有请求的此规则,在这种情况下,更好的方法可能是通过在加载 OWASP CRS 规则之前添加以下规则来仅针对此 URL 关闭此规则文件(注意 id 必须是唯一的,因此如果您已经有规则 1,则在此处选择唯一的):
是的,在你问之前,有些覆盖是在规则之后指定的,而其他使用 ctl 的覆盖需要在.
如果您有多个要禁用的规则,您可以使用如下语法: