Я пытался отключить правило внедрения sql mod_security, добавив это в файл conf
SecRuleRemoveById 981172
SecRuleRemoveById 981243
SecRuleRemoveById 981173
SecRuleRemoveById 981249
SecRuleRemoveById 981318
SecRuleRemoveById 981246
SecRuleRemoveById 981231
Но кажется, что правил больше, могу ли я отключить правило внедрения sql без добавления каждого идентификатора правила? Или я ошибаюсь.
Причина, по которой я хочу отключить это, заключается в том, что я пытаюсь установить IPS (форумы) и все, что я делаю, будь то добавление пользователя или редактирование категории, я получаю ошибку 403, вызванную безопасностью мода, и ошибки обычно говорят, что была соответствие шаблону в заголовке сообщения или файлах cookie.
Изменить: вот одна из ошибок
Message: Access denied with code 403 (phase 2). Pattern match "(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" at ARGS:core_theme_setting_title_167. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "49"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: '#'>This found within ARGS:core_theme_setting_title_167: <h4>Mega Footer Links</h4>\x0d\x0a<ul class='footerLinks'>\x0d\x0a\x09<li><a href='http://www.ipsfocus.com'>IPS 4.x themes</a></li>\x0d\x0a\x09<li><a href='#'>This is a link list</a></li>\x0d\x0a\x09<li><a href='#'>This is a longer link inside of the list</a></li>\x0d\x0a\x09<li><a href='#'>This is a link list</a></li>\x0d\x0a</ul>"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]
Правильный способ сделать это так же, как и вы, или, возможно, лучше внести в белый список только те аргументы, которые вызывают у вас проблемы:
SecRuleUpdateTargetById 981231 "!ARGS:core_theme_setting_title_167"
Как вы видели, для внесения всех необходимых вам белых списков может потребоваться некоторое время.
Вы, конечно, должны работать в режиме DetectionOnly и точно настраивать правила, пока вы не получите несколько (нет?) Ложных срабатываний и не переключитесь в режим блокировки. Похоже, вы уже работаете в режиме блокировки, поэтому я предлагаю вам вернуться к DetectionOnly, оставить его на неделю, просмотреть журналы, чтобы внести в белый список все правила, которые являются ложными срабатываниями, за один раз, а затем повторить еще раз несколько раз. . Намного лучше сделать это, чем гоняться за хвостом один за другим.
Если вы действительно хотите просто отключить все правила SQL-инъекций (они очень подвержены чрезмерному предупреждению!), Вы можете просто не включать этот файл:
/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf
В зависимости от того, как ModSecurity настроен в вашем файле конфигурации, это можно сделать, удалив этот файл (или ссылку на него) из каталога active_rules, поскольку (обычно) все файлы в этом каталоге включены.
Конечно, это означает, что вы не защищены этими правилами, и только вы можете судить о том, насколько важна для вас проблема. Как я уже сказал, это шумные правила, требующие времени для точной настройки, но SQL-инъекция также является одним из наиболее распространенных и опасных эксплойтов.
В качестве альтернативы вы можете полностью отключить ModSecurity. Лично я считаю, что это удобно, и в прошлом он был защищен им, но другие думают, что такие WAF доставляют больше хлопот, чем они того стоят.