Errori di ModSecurity relativi a REQUEST_METHOD HTTP / 1.1 e GET

1

Ho chiesto al mio ospite di accendere il file di registro, e da allora è aumentato molto. È aumentato di 700 MB l'ultima settimana. È pieno di messaggi di errore relativi a Mod Security.

Molti di loro hanno questo aspetto:

[Thu Jun 20 16:49:01 2013] [error] [client 157.55.33.88] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/page-pr-2317.html"] [unique_id "UcMWXcCoEXsAAE4QF8QAAAAh"]

[Thu Jun 20 16:49:01 2013] [error] [client 157.55.33.88] ModSecurity: Warning. Match of "within %{tx.allowed_http_versions}" against "REQUEST_PROTOCOL" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "77"] [id "960034"] [msg "HTTP protocol version is not allowed by policy"] [data "HTTP/1.1"] [severity "CRITICAL"] [tag "POLICY/PROTOCOL_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.10"] [hostname "www.url.se"] [uri "/page-pr-2317.html"] [unique_id "UcMWXcCoEXsAAE4QF8QAAAAh"]

[Thu Jun 20 16:49:02 2013] [error] [client 95.211.116.112] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/images/image.jpg"] [unique_id "UcMWXsCoEXsAACkYfrAAAAAN"]

[Thu Jun 20 16:49:02 2013] [error] [client 95.211.116.112] ModSecurity: Warning. Match of "within %{tx.allowed_http_versions}" against "REQUEST_PROTOCOL" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "77"] [id "960034"] [msg "HTTP protocol version is not allowed by policy"] [data "HTTP/1.1"] [severity "CRITICAL"] [tag "POLICY/PROTOCOL_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.10"] [hostname "www.url.se"] [uri "/images/image.jpg"] [unique_id "UcMWXsCoEXsAACkYfrAAAAAN"]

[Tue Jun 25 20:18:18 2013] [error] [client 85.224.51.23] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/images/image2.gif"] [unique_id "Ucne6sCoEXsAAHXDKMwAAAA9"]

[Tue Jun 25 20:17:58 2013] [error] [client 81.234.144.108] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "POST"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/page2-p-500.html"] [unique_id "Ucne1sCoEXkAAE@LBx8AAABK"]

Ho chiesto al mio ospite e mi hanno detto che parte del massaggio potrebbe dipendere dal visitatore che usa i vecchi browser che non hanno il protocollo HTTP / 1.1.

Mi hanno anche detto che le impostazioni in mod_security dovrebbero consentire GET, HEAD, POST e OPTIONS, ma per qualche motivo esso fornisce comunque un messaggio di errore. Non mi hanno detto perché, e non sembra che lo indagheranno. Ho visto che uno degli IP appartiene a Bingbot.

Non mi sono imbattuto in alcun messaggio di errore sul sito acctual, ma posso vedere il mio IP nel log degli errori.

Non ne so molto di mod_security quindi ho bisogno di un po 'di orientamento. Ho trovato una domanda simile al link

Ma poiché Im su un host condiviso non posso modificare alcuna impostazione. Posso solo accendere e di mod_security.

Quindi qualcuno può dirmi cosa potrebbe causare questi massaggi di errore?

Devo girare di mod_security?

    
posta Fredrik Johansson 05.07.2013 - 19:12
fonte

3 risposte

3

Le regole di ModSecurity-CRS non funzioneranno finché non avremo regole ottimizzate in base ai nostri requisiti. Le voci del registro ci forniscono tre informazioni.

  1. tx.allowed_methods
  2. tx.allowed_http_versions
  3. modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf

Quindi quali sono tx.allowed_methods e tx.allowed_http_version queste sono le variabili di transazione che stiamo usando per definire i metodi HTTP consentiti e la versione per la nostra applicazione e modsecurity_crs_30_http_policy.conf userà queste variabili per l'implementazione della politica.

Abbiamo bisogno di inizializzare queste variabili e le seguenti regole definiscono queste variabili

SecAction "phase:1,t:none,nolog,pass, \
setvar:'tx.allowed_methods=GET HEAD POST OPTIONS', \
setvar:'tx.allowed_request_content_type=application/x-www-form-urlencoded
multipart/form-data text/xml application/xml', \
setvar:'tx.allowed_http_versions=HTTP/0.9 HTTP/1.0 HTTP/1.1', \
setvar:'tx.restricted_extensions=.asa .asax .ascx .axd .backup .bak .bat
.cdx .cer .cfg .cmd .com .config .conf .cs .csproj .csr .dat .db .dbf .dll
.dos .htr .htw .ida .idc .idq .inc .ini .key .licx .lnk .log .mdb .old .pass .pdb .pol .printer .pwd .resources .resx .sql .sys .vb .vbs .vbproj
 .vsdisco .webinfo .xsd .xsx', \
setvar:'tx.restricted_headers=Proxy-Connection Lock-Token Content-Range 

La seconda regola usa queste variabili di definizione nelle regole.

SecRule REQUEST_BASENAME "\.(.*)$" "chain,capture,setvar:tx.extension=.%{tx.1}/,phase:2,t:none,t:urlDecodeUni,t:lowercase,block,msg:'URL file extension is restricted by policy',severity:'2',rev:'2',ver:'OWASP_CRS/2.2.9',maturity:'9',accuracy:'9',id:'960035',tag:'OWASP_CRS/POLICY/EXT_RESTRICTED',tag:'WASCTC/WASC-15',tag:'OWASP_TOP_10/A7',tag:'PCI/6.5.10',logdata:'%{TX.0}'"
        SecRule TX:EXTENSION "@within %{tx.restricted_extensions}" "t:none,setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/POLICY/EXT_RESTRICTED-%{matched_var_name}=%{matched_var}"
    
risposta data 05.01.2014 - 17:33
fonte
2

ModSecurity è una specie di firewall a livello Web (quindi, almeno, afferma il manuale ). Il suo scopo è quello di permetterti di stabilire filtri per richieste personalizzate per la tua applicazione specifica. Essere in grado di accenderlo e spegnerlo, ma non di alterarne la configurazione, vanifica i suoi benefici. Quindi il mio consiglio sarebbe di disattivarlo. È come avere una porta d'acciaio sulla tua casa, ma dare la chiave a un portiere che deciderà quando è aperto e quando sarà chiuso senza consultarti.

Nella tua situazione, "qualcosa" nella configurazione di ModSecurity lo rende scomodo, ma solo al punto di emettere warnings , che quindi fanno crescere i log ma non bloccano le richieste - spiegando perché, dal tuo browser, le cose sembrano andate bene.

    
risposta data 05.07.2013 - 19:50
fonte
0

Dalla tua domanda sembra che questa domanda riguardi un server Apache. Sono un esperto di IIS, ma non conosco Apache, quindi posso solo ipotizzare alcune cose qui. Molte cose sono le stesse però.

ModSecurity è una specie di firewall, come già sottolineato da Thomas. E hai detto che non puoi cambiare la configurazione. Bene, puoi chiedere al fornitore di darti la configurazione esatta. Con queste informazioni puoi decidere se questa serie di regole è adeguata o meno per te. In caso contrario, spegnerlo.

Dal file di registro, sembra che ci siano molti rilevamenti di falsi positivi (non sono sicuro del carico del tuo sito). O questi sono tutti attacchi o il set di regole è totalmente sbagliato e sta bloccando molte richieste legittime.

Cerca di ottenere la configurazione esatta e cerca di capire il significato esatto di ogni linea di configurazione. Se riscontri eventuali errori, parla con il fornitore. Probabilmente vogliono correggere le configurazioni sbagliate anche per gli altri client.

In realtà questo tipo di domande non è molto legato alla sicurezza, penso che sarebbe meglio adattarsi a serverfault o così, ma vedo che hai già postato la stessa domanda e che è stato chiuso (in attesa) come "off-topic", perché dicono che se non riesci a riconfigurarlo, non è correlato all'amministrazione. (Non sono completamente d'accordo, ma comunque.)

    
risposta data 09.07.2013 - 00:08
fonte

Leggi altre domande sui tag