ModSecurity Block basato su ARGS_NAMES carattere iniziale

0

Lavorare su una regola per bloccare il traffico in base al carattere iniziale di ARGS_NAMES o cookie, ottenere o pubblicare

Esempio di permesso

name=Joe

Blocco di esempio

#name=Joe

Regola di prova che non funziona

SecRule ARGS_NAMES "^(#.*)$" "phase:1,id:199,log,deny,msg:'Block Argname with hash'"
    
posta jozwikjp 29.03.2018 - 14:48
fonte

2 risposte

0

Queste regole sembrano funzionare su 2.8

SecRule ARGS_GET_NAMES "^(#.*)$" "id:193,log,deny,msg:'Block ARGS Name with hash GET'"


SecRule ARGS_POST_NAMES "^(#.*)$" "id:192,log,deny,msg:'Block ARGS Name with hash POST',logdata:'%{tx.httpbl_msg}',setvar:tx.httpbl_msg=$"


SecRule REQUEST_COOKIES_NAMES "^(#.*)$" "id:194,log,deny,msg:'Block ARGS Name with hash COOKIE'"

Ma soluzione migliore link

SecRule ARGS_NAMES|REQUEST_COOKIES_NAMES "@beginswith #" "id:123,phase:2,block,msg:'SA-CORE-2018-002'"
    
risposta data 29.03.2018 - 19:07
fonte
0

Le regole ModSecurity nella fase 1 funzionano solo con GET args poiché gli argomenti POST non sono disponibili fino alla fase 2, i cookie sono disponibili dalla fase 1.

BIG ATTENZIONE: le regole della fase 1 all'interno dei blocchi di posizione in Apache vengono scartate in silenzio poiché le posizioni non sono disponibili fino alla fase 2, quindi qualsiasi fase 1 viene ignorata, per evitare errori / problemi potrebbe essere meglio attenersi alla fase 2.

    
risposta data 15.08.2018 - 17:41
fonte

Leggi altre domande sui tag