問題タブ [mod-security]

ModSecurity（mod_security）の追加ルールを探しています。GotRootまたはTrustWaveの新しいオプションの2つの商用オプションがあります。

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

TrustWaveについては聞いたことがありますが、GotRootについては聞いていません。ただし、GotRootルールはGoogleなどでより多く言及されているようです-TrustWaveのルールは約1か月ほど前にしか登場しなかったようです

eコマースサイトを保護するためにそれらを使用します

mod_security をセットアップしただけで、多くの誤検知 [??] が表示されます。検出のみで実行しているため、まだ問題はありませんが、これらのフィルターは、必要になると要求をブロックし始めます。

これらのフィルターの重要性を 100% 理解しているわけではないのではないかと心配しています。ほぼすべてのドメインで何百ものフィルターを取得し、すべての要求が正当に見えます。

ここで何をするのが最善ですか？これらのフィルターを無効にする必要がありますか? リクエストがブロックされないように重大度を低く設定できますか?

ここに完全なエントリがあります

ColdFusionで記述された古い Web アプリケーションをPHP5に移行しています。古いアプリは Cookie を使用していたため、多くのユーザーがブラウザーで Cookie を取得していました。

ドメインは同じなので、PHP5 は auto-global で古い Cookie を取得し$_COOKIEます。つまり、結果print_r( $_COOKIE )は次のようになります。

アプリケーションファイアウォールModSecurity2を除いて、全体的には問題ありません。 $_COOKIES を自動ロードすると、ファイアウォールはそれを悪として検出します。以前は誤検知の SQL インジェクションがあり、次に一部の XSS 攻撃が一致しました。

これらのルールを無効にすることはできますが、最善の解決策ではありません (私はそう思います)。

ColdFusion Cookie が存在するかどうかを確認するにはどうすればよいですか? 古い Cookie を自動ロードせずにユーザーのブラウザーから削除するにはどうすればよいですか?

ありがとう。

mod security 2.5.12 をインストールしました 一部の php ファイルでエラー 403 Forbidden が発生しました これは誤検知です この特定の警告のルールを無効にしたい では、このエラーのルールをどのように知ることができるか教えてくださいmodセキュリティファイル??

HashDoSと呼ばれる新しいテクニックDoSについて読んだばかりです。詳細については、https：//cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

このDoS手法は、多数のパラメーターをPOSTし、ハッシュテーブルアルゴリズムの最悪のケースをトリガーします。Webサーバーはその仕事をするのにより多くの時間を要します。

彼らは言った：

したがって、ギガビットインターネット接続を使用したPHPリクエストの処理で約10.000 Corei7CPUコアをビジー状態に保つことができます。あるいは、ASP.NET、30,000 Core2 CPUコア、Java Tomcat 100,000 Core i7 CPUコア、またはCRuby 1.8 1,000,000 Core i7 CPUコアの場合、単一のギガビット接続でビジー状態を維持できます。

そこで、会社のWebサイトのPOSTコンテンツのパラメーター数を制限したいと思います。modsecurityでそれができることは知っていますが、modsecurityに精通していません。

前もって感謝します。

私は私の人生のために正規表現を読むことができません。
ホストの最後の更新でmod_securityが突然トリガーされる理由を理解するのに役立つ人がいますか？

このmod_securityエラーが発生します：

メッセージ：コード406（フェーズ2）でアクセスが拒否されました。\b(\d+) ?= ?\1\b|[\'"](\w+)[\'"] ?= ?[\'"]\2\bREQUEST_HEADERS：Cookieでのパターン一致" "。[ファイル"/usr/local/apache/conf/modsec2.user.conf"][行"94"][id "959901"][msg"SQLインジェクション攻撃"][データ"1=1"][重大度" CRITICAL"][タグ"WEB_ATTACK/ SQL_INJECTION "]

このエラーを生成したログに記録されたCookieの1つは次のとおりです。

クッキー：pmr = 9d800ab159baf3962d1c777225b4b632; pmr_referrer = http％3A％2F％2Frateyourmusic.com％2Fadmin％2Fcoraq％2F％3F1％3D1％26status％3Dw％26show％3D10％26start％3D7020; __utma = 229707933.920390620.1326769663.1326769663.1326769663.1; __utmb = 229707933.1.10.1326769663; __utmc = 229707933; __utmz = 229707933.1326769663.1.1.utmcsr = rateyourmusic.com | utmccn =（referral）| utmcmd = referral | utmcct = / admin / corq /

「admin」がCookieに含まれているため、これがトリガーになりますか？

ここに別の...

クッキー：ui-tabs-1 = 1; superBAGUS = af14474b9bcc7ec3ae436e58ba172520; superBAGUS_referrer = ...; superBAGUS_admin = 2％3A747167a9cd89703dbfafe3c7a5c523b4; acco = acco_1; superBAGUS_adviews = .2576.2580 .; __utma = 10910262.1479346800.1326871079.1326871079.1326873539.2; __utmb = 10910262.10.8.1326873800604; __utmc = 10910262; __utmz = 10910262.1326871079.1.1.utmcsr =（direct）| utmccn =（direct）| utmcmd =（none）

「ui-tabs-1=1」は1=1の注入のように見えるため、これがトリガーになりますか？

このパターンマッチングは正確には何ですか？

SQL クエリに似たテキストを含むファイルを保存しようとすると、500 内部サーバー エラーが発生します。したがって、ModSecurity はそれをブロックしています。

そこで、フォルダー /app/3/admin/modules/product/ に .htaccess ファイルを作成します。

しかし、これでも問題は解決していません。Apache のログ ファイルにログ エントリを含む 500 コードが引き続き表示されます。

これが機能しない理由は何ですか？

mod_security 2.6.3を使用していますが、ルールの重大度レベルに基づいてシェルスクリプトを実行できるようにしたいと考えています。コアルールセット（CRS）を使用しています。これは、攻撃が検出されたときに重大度レベルを2（「クリティカル」の場合）に設定します。

重大度が十分に高い場合はいつでもスクリプトを実行したいと思います。

SecDefaultAction次のような設定を使用してみました。

ただし、「exec」アクションは「無停止」アクションであるため、クリティカルルールまたは非クリティカルルールがトリガーされているかどうかに関係なく、常に実行されます。

それぞれのクリティカルSecRuleを調べて、その横に「exec」を追加することはできますが、それは面倒です（そして反復的で醜いです）。

私は次のようなことができると思いました：

しかし、どういうわけか、それは決して実行されません。おそらく、重要なルールに、ルールの処理を停止するブロックまたは拒否ステートメントがあるためです（混乱を招くと見なされているため）。

また、次のようなCRS異常スコア機能を使用してみました。

しかし、それでも処理されません。私がこれをどのように行うことができるかについてのアイデアはありますか？

modsecurity には、Apache なしで動作する nginx または Tomcat 用のモジュールがありますか?