如何解决如何识别REQUEST_BODY中是否有任何附件用于创建ModSecurity排除规则
我们正在使用 ModSecurity CRS 3.0.2 并且需要排除规则 930110,如果它包含模式“../”和“..\”(路径遍历攻击),则该规则会阻止请求。如果我们在提交请求时附加一个文件,这种模式会被频繁匹配并且请求被阻止,这是我们想要避免的。
我可以使用以下方法排除 REQUEST_BODY:
SecRuleUpdateTargetById 930110 "!REQUEST_BODY"
有没有办法只排除附件并扫描 REQUEST_BODY 的其余部分?
如果没有,我们是否可以识别 REQUEST_BODY 是否包含附件并仅在这种情况下排除 REQUEST_BODY。我尝试了如下字符串搜索,但它不起作用。 'filename' 是 REQUEST_BODY 中的一个示例字符串,每当附加文件时我都会看到。
SecRule REQUEST_BODY "@包含文件名"
"id:1001,phase:1,pass,nolog,
ctl:ruleRemoveTargetById=930110;REQUEST_BODY"
REQUEST_URI 过滤器虽然有效
SecRule REQUEST_URI "@beginsWith /process"
"id:1001,
ctl:ruleRemoveTargetById=930110;REQUEST_BODY"
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。