如何解决在 ModSecurity 中,如何将 CRS 规则严重性级别从 CRITICAL 更改为 NOTICE?
CRS 有一组 SQL 数据泄漏规则,我想维护它们,但想将其严重性从 CRITICAL 更改为 NOTICE,因此一个匹配项不会立即阻止请求。
我无法更改出局异常分数限制,因为所有其他规则都可以有效地处理当前分数。
请注意,CRS 中的 95* 条规则都是链式规则。
我尝试使用 SecRuleUpdateActionById 更新严重性,但没有用。
SecRuleUpdateActionById 951110 "severity:'NOTICE'"
现在,这是上面的示例规则:
SecRule TX:sql_error_match "@eq 1" \
"id:951110,\
phase:4,\
block,\
capture,\
t:none,\
msg:'Microsoft Access SQL Information Leakage',\
logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
tag:'application-multi',\
tag:'language-multi',\
tag:'platform-msaccess',\
tag:'attack-disclosure',\
tag:'paranoia-level/1',\
tag:'OWASP_CRS',\
tag:'capec/1000/118/116/54',\
ctl:auditLogParts=+E,\
ver:'OWASP_CRS/3.3.0',\
severity:'CRITICAL',\
chain"
SecRule RESPONSE_BODY "@rx (?i:JET Database Engine|Access Database Engine|\[Microsoft\]\[ODBC Microsoft Access Driver\])" \
"capture,\
setvar:'tx.outbound_anomaly_score_pl1=+%{tx.critical_anomaly_score}',\
setvar:'tx.sql_injection_score=+%{tx.critical_anomaly_score}',\
setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'"
看来我需要更新严重性级别(我的评论规则没有改变),以及链式规则中存在的 setvar 操作。
关于如何做到这一点的任何想法?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。