Мы получаем много ложных срабатываний при использовании стороннего программного обеспечения на нашем сервере. Они сами не могут это исправить, и я пытаюсь решить, как разрешить файлы cookie, содержащие "CERTAINSTRING_"
Ниже приведен пример одного из запретов. У всех одинаковый идентификатор правила
www.mysite.com 27.33.154.111 981231 [15/Dec/2013:12:14:36 +1100]
Pattern match: \
"(/\\*!?|\\*/|[';]--|--[\\s\\r\\n\\v\\f]|(?:--[^-]*?-)|([^\\-&])#.*?[\\s\\r\\n\\v\\f]|;?\\x00)" \
at REQUEST_COOKIES: _CERTAINSTRING. \
[file "/usr/local/apache/conf/modsecurity_crs_41_sql_injection_attacks.conf"] \
[line "49"] \
[id "981231"] \
[rev "2"] \
[msg "SQL Comment Sequence Detected."] \
[data "Matched Data: 1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"rev found within REQUEST_COOKIES:_CERTAINSTRING: 240,1091,/file-path/file-name/999/1,http://www.mysite.com/file-path/file-name/999/1#"
"description::325,1091,/file-path/file-name/999/1,http://www.mysite…”] \
[severity "CRITICAL"] \
[ver "OWASP_CRS/2.2.8"] \
[maturity "8"] \
[accuracy "8"] \
[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] \
[tag "WASCTC/WASC-19"] \
[tag "OWASP_TOP_10/A1"]
Вы можете использовать SecRuleUpdateTargetById для изменения правила
SecRuleUpdateTargetById 981231 !REQUEST_COOKIES:/^ _CERTAINSTRING/
Это отключит правило, вызывающее у вас боль, при запросе файлов cookie, имя которых начинается с _CERTAINSTRING.
Обновить:
Вышеупомянутое правило необходимо разместить после определения правила, к которому оно относится. Обычно это делается путем создания файла, который читается после всех правил CRS, например. на основе местоположения, указанного в вашем сообщении журнала аудита
/usr/local/apache/conf/modsecurity_crs_61_customrules.conf