考虑以下从 Lua 脚本激活的重定向 SecRule
SecRule &TX:SQLI "@eq 1" "id:'129793',phase:2,t:none,redirect:http://www.example.com/failed.html,msg:'SQLi Injection Payload Found',setvar:REQUEST_HEADERS:Blocked"
当变量tx.sqli被赋予一个值时,规则被激活。重定向成功,但规则尝试创建新的“已阻止”请求标头。然而,创作并不成功。
调试器中的日志输出以下内容:
Could not set variable "REQUEST_HEADERS.Blocked" as the collection does not exist.
这显然是不正确的。Modsecurity 如何创建新的请求标头?
我有网络流量流经 ModSecurity。
在 ModSecurity 配置中,我正在调用一个 Lua 脚本,该脚本正在对请求字符串的参数进行一些简单的分析。具体来说,它正在检查跨站点脚本的证据,如果存在一些证据,它将阻止传入的流量。
ModSecurity规则引擎配置如下:
SecRuleEngine On
SecRuleScript "/path/to/lua/script/detectXSS.lua" "block"
lua 脚本的说明性示例如下:
function main()
-- Retrieve script parameters
local d = m.getvars("ARGS", { "lowercase", "htmlEntityDecode" } );
-- Loop through the parameters
for i = 1, #d do
-- Examine parameter value.
if (string.find(d[i].value, "<script")) then
return ("Suspected XSS in variable " .. d[i].name .. ".");
end
end
-- Nothing wrong found.
return nil;
end
虽然 XSS 可以被检测到并返回,但是阻塞功能并没有发生。有什么明显的缺失吗?任何帮助将不胜感激。
干杯