1. Zuhause
  2. Frage und Antwort
  3. ModSecurity weiße Liste json ARG

ModSecurity weiße Liste json ARG

2017-08-03 3 views
0

Dies ist das Spiel ich:ModSecurity weiße Liste json ARG

against variable `ARGS:json' (Value: `{"j_username": "username", "j_password": "password_with_special_marks", "remember_me": false, "from": (4 characters omitted)') [file "/usr/local/nginx/conf/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "509"] [id "942130"]

Das Passwort Sondermarke hat und es Flags es als SQL-Injection.

Ich habe versucht, die Regel sowohl mit Whitelisting:

SecRuleUpdateTargetById 942130 !ARGS:'j_password' 
SecRuleUpdateTargetById 942130 !ARGS:'json'

Keiner von ihnen arbeitete. Die Frage ist, welches Argument sollte ich aus dem Spiel ARGS nehmen?

Quelle

2017-08-03 JohannesT

Antwort

0

Sie sollten ARGS übereinstimmen: json. Es gibt ein paar Dinge zu beachten.

  1. SecRuleUpdateTargetById muss nach der Regel kommen. Es sieht so aus, als ob Sie OWASP CRS 3.x verwenden, was bedeutet, dass Sie RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.Beispiel idealerweise in RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf umbenennen platziere es dort.
  2. Nur um sicher zu sein, würde ich die Anleitung aus dem Referenzhandbuch https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#secruleupdatetargetbyid folgen. Das Format sollte SecRuleUpdateTargetById 12345 "! ARGS: foo" sein. In Ihrem Fall SecRuleUpdateTargetById 942130 "! ARGS: json"
  3. Auch wenn dies nicht der Fall ist, können Sie ModSecurity, falls Ihre gesamte Anfrage JSON ist, anweisen, sie als solche zu verarbeiten. Dies geschieht standardmäßig in der empfohlenen ModSecurity-Konfiguration (https://github.com/SpiderLabs/ModSecurity/blob/v2/master/modsecurity.conf-recommended#L25). Wenn nur der Parameter JSON ist, kann ModSecurity derzeit leider einen bestimmten Parameter nicht verarbeiten. Schutzfunktionen werden jedoch immer noch funktionieren, nur nicht so ideal wie im oben genannten Fall.
  4. Wenn dies ein gut etabliertes Projekt wie Drupal ist, sollten Sie die vorhandenen Drupal-Ausschlüsse verwenden (https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/e4e0497be4d598cce0e0a8fef20d1f1e5578c8d0/rules/REQUEST-903.9001-DRUPAL-EXCLUSION-RULES.conf). Diese können aktiviert werden, indem SecAction 900130 in crs-setup.conf auskommentiert und die Drupal-Ausschlüsse aktiviert werden. Bitte beachten Sie das Beispiel https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.0/master/crs-setup.conf.example#L296.

Viel Glück!

Quelle

2017-08-04 11:04:37

Verwandte Themen

 Verwandte Themen