問題タブ [mod-security]

mod_securityには OWASP のコア ルールを使用しています。誤検知があるようです...

index.php

ヘッドリクエスト

エラーログ

modsecurity_crs_16_session_hijacking.conf

httpd.conf

I installed mod_security 2.8.0 on my Apache 2.4 installation. I copied the yajl.dll into my bin folder, the .so file into my modules, added the configuration as the readme suggested, but when I start Apache, it fails.

But it only fails if I specify rules (I tried a lot of different ones, one at a time). Every time there is a rule, Apache fails to start.

If I go with only

Then it works fine. The error log shows only:

I.e. no errors. If I add a rule that is misconfigured (missing ID) it will log it here, but as you can see it doesn't - but Apache won't start.

System is Windows Server 2008 R2 64 bit.

OWASP ModSecurity Core Ruleset の最新バージョン (2.2.9) をダウンロードしました。

提供されている「modsecurity_crs_10_setup.conf.example」には、2 つの SecDefaultAction ディレクティブが隣り合っています。

新しい SecDefaultAction ディレクティブが定義されるとすぐに、これは次のルールに使用されると思いました。したがって、私はの目的を理解していません

直後に別の SecDefaultAction が定義された場合です。

ありがとう、ロナルド

共有ホスティングのMediaWiki と ModSecurityで(私にとって) 異常な問題が発生しています。どうやら変更を保存したり、ページを閲覧したりすると、Apache の ModSecurity モジュールでアラームが発生するようです。このようなアラームが数回発生した後、ユーザーはファイアウォール モジュールによってサーバーから切断されます。

サーバーは私の管理下にないため、根本的な原因(REGEX ルールなど)を理解し、MediaWiki にパッチを適用したいと考えています。

生のアクセス ログ エントリと提供されたエラー ログを組み合わせることで、ほとんどの場合、次のような api.php を参照することが原因であることがわかりました。

結果:

他のケースもあることが判明しました（少数）：

私が使う：

1. リスト アイテム内のリスト MediaWiki 1.21 (+ FlaggedRevs、Translate、Babel、jQuery テキスト エディター)
2. PHP 5.4、
3. Apache 2.2 と URL の書き換え。

ディレクトリとファイル名に外国語の文字が含まれる画像ファイルがいくつかÁありüますError 406 - Not acceptable。

サイトを安全でなくすることなく、サーバーにこれらのファイルを表示させる方法はありますか?

編集：error_logとmodsec2.user.confを確認した後、トリガーされているルールは

ありがとう

Centos マシンで ModSecurity 2.7 を使用しています。httpdを指定しyum install mod_securityて設定し、再起動しました。SecRuleEngine OnModSecurity が機能していても (ModSecurity と httpd エラー ログを見て)、攻撃をブロックしません (xss とパス トラバーサルの試行)。何か助けはありますか？

よろしく

POSTと を使用した API 呼び出しで問題が発生していますmultipart/form-data。フォームにファイルが添付されている場合、呼び出しは成功します ( 200)。ファイルが添付されていない場合 ( 500)、modsecurity は次のエラーをスローします。

LF 1と言うのと関係がありますLF line ending detected。インターネット経由で解決策を見つけることができないようです。どんな助けでも大歓迎です。

ペイロード

応答

リクエストヘッダー

応答ヘッダー

応答

xmlrpc.php 認証の失敗数を 1 分間に 5 回に制限するルールを構築しようとしています。私がこれまでに持っている ModSecurity ルールは次のとおりです。

以下を使用して、このサーバー上のサイトへの繰り返しの呼び出しにもかかわらず:

いずれの場合も、「faultCode」というテキストを含む本文を送り返しますが、各リクエストが固定 IP アドレスからのものであっても、リクエストをブロックすることはありません。ルールの構文に問題がありますか、またはこれをデバッグする方法はありますか?

WordPress サイトで、私が使用しているプラ​​グインは jquery.cookie.js を利用しています。私のホスティング プロバイダーは mod_security を使用して jquery.cookie.js をサーバーにできなくし、エラー 406 が発生しました。

Chrome 開発ツールのネットワーク ログで障害を確認したところ、問題の行は次のとおりでした。

http://neuron-tech.ca/wp/wp-content/plugins/soldpress/lib/jquery.cookie/jquery.cookie.js?ver=1.3.1すべて赤太字。

解決策は、ホスティング プロバイダーに連絡することでした。彼らは、私の Web サイトでこのための mod_security ルールを変更しました。

ネットワーク ログで他の JavaScript ファイルを確認したところ、すべて「.js/?」が含まれていました。その後に JavaScript コードのバージョンが続きます。

「?」の後にバージョン番号を追加する目的は何ですか? これを行うと、ブラウザの JavaScript がプレーン テキストとして表示されます。これは、JavaScript が正常に提供されたことを確認するための何らかの手法ですか?

OWASP ルール セットはmod_sec、DDoS および DoS 攻撃から保護するのに十分ですか? または、mod_secを使用して識別された疑わしい IP アドレスをブロックするなど、追加の手順を実行することをお勧めしiptablesますか?

mod_evasiveに加えてアクティベーションをお勧めしmod_secますか?

ShoreWallとCSFirewallはどうですか？

ありがとうございました！