Я вижу файлы cookie, генерируемые на нашем сервере, которые кажутся сторонними объектами на сайте и не отображаются при входе в систему или переходе по сайту.
Файлы cookie случайны, но все начинаются с Wm. Таким образом, некоторые из них могут быть wm_cm_12345-12345-12345-12345, а некоторые из них могут быть wm-wtchd-22. Я думаю, что, возможно, я мог бы их не предупреждать, если они Wm *.
Как я могу внести файлы cookie в белый список, начиная с Wm?
и любые другие идеи, которые вы могли бы включить, и как их добавить в белый список?
Спасибо
пример файла cookie
TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_rx_123456eabcdef7890_0edb4989-1523-ff12-ccab-beddddaaffccc. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 41, SQLi=9, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \\x22:61"] [hostname "Somefoowebsite.com"] [uri "/images/nyancat.jpg"]
Еще один пример того, что я вижу:
[30/Nov/2015:13:54:27 --0700] [bumblebeetune.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:[30/Nov/2015:13:54:27 --0700] [bumblebeetuna.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_ct_877bb6e0e4744fd6a270f70f3e0c8a67_d464ab47-3cf0-fe3f-89d5-bd785f7bdcfa. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]
Вы можете делать то, что хотите, вы можете добавить такую конфигурацию (как подробно описано Вот):
SecRuleUpdateTargetById 981243 !REQUEST_COOKIES:'/^wm.*/'
Фактически, это уже встроено в некоторые обычные файлы cookie, которые это правило неправильно помечает как ложные срабатывания (__utm используется Google Analytics, а _pk_ref используется аналогичным программным обеспечением для аналитики), как вы можете видеть, глядя на определение правила исходного правила, отметившего:
SecRule REQUEST_COOKIES |! REQUEST_COOKIES: / __ utm / |! REQUEST_COOKIES: / _ pk_ref / | REQUEST_COOKIES_NAMES | ARGS_NAMES | ARGS | XML: / * "(? I: (?: [\" '
´’‘]\s*?\*.+(?:x?or|div|like|between|and|id)\W*?[\"'´ ’‘] \ d) | (?: \ ^ [\ "'´’‘])|(?:^[\w\s\"'´ '' -] + (? <= И \ s) (? <= Или | xor | div | как | между | и \ s) (? <= Xor \ s) (? <= Nand \ s) (? <= не \ s) (? <= \ | \ |) (? <= \ & \ &) \ w + () | (?: [\ "'´’‘][\s\d]*?[^\w\s]+\W*?\d\W*?.*?[\"'´ ’‘ \ d]) | (?: [\ "'´’‘]\s*?[^\w\s?]+\s*?[^\w\s]+\s*?[\"'´ ’‘]) | (?: [\ "'´’‘]\s*?[^\w\s]+\s*?[\W\d].*?(?:#|--))|(?:[\"'´ ’‘].? * \ s? \ d) | (?: [\ "'´’‘]\s*?(x?or|div|like|between|and)\s[^\d]+[\w-]+.*?\d)|(?:[()\*<>%+-][\w-]+[^\w\s]+[\"'´ ''] [^,])) "" phase: 2, capture, t: none, t: urlDecodeUni, block, msg: 'Обнаруживает классические проверки SQL-инъекций 2/2', id: '981243', tag: ' OWASP_CRS / WEB_ATTACK / SQL_INJECTION ', logdata:' Соответствующие данные:% {TX.0} найдены в% {MATCHED_VAR_NAME}:% {MATCHED_VAR} ', серьезность:' 2 ', setvar:' tx.msg =% {rule.id } -% {rule.msg} ', setvar: tx.sql_injection_score = + 1, setvar: tx.anomaly_score = +% {tx.critical_anomaly_score}, setvar:' tx.% {tx.msg} -OWASP_CRS / WEB_ATTACK / SQLI -% {matched_var_name} =% {tx.0} '"
Теперь, если вы можете понять, что это regexpr, то вы лучше меня, но вы можете увидеть конфигурацию файлов cookie, к которым оно применяется в начале.
Обратите внимание, что лучше добавить приведенную выше конфигурацию для динамического изменения правила, а не редактировать само правило, поскольку при обновлении ваших правил любые изменения будут перезаписаны, тогда как переопределения могут быть сохранены (при условии, что они находятся в отдельном файле переопределения, который все еще присутствует после обновления).