ModSecurity SQL 规则由名为 'warning.png' 的图像激活

ModSecurity SQL rules activated by image called 'warning.png'

我是 ModSecurity 的新手并尝试在我的本地环境中对其进行评估:

我的 404 错误页面出现以下 ModSec 误报,这是一个非常基本的页面,仅包含少量文本和图像 '/assets/warning.png '.

Wed Apr 20 11:24:36.137728 2022] [:error] [pid 19154] [client xxx.xxx.xxx.xxx:61967] [client xxx.xxx.xxx.xxx] ModSecurity: Rule 55dfceb2c9b0 [id "-"][file "/etc/httpd/coreruleset-3.3.2/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"][line "92"] - Execution error - PCRE limits exceeded (-8): (null). [hostname "mydomain.com"] [uri "/404"]

这似乎是导致问题的图像,如果我删除它,我就不会收到 modsec 警报。

我不知道如何为这个误报创建排除项,我尝试了以下方法(在 /etc/httpd/coreruleset-3.3.2/rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf 中),但没有成功:

SecRuleUpdateTargetById 951120 "!ARGS_NAMES:/warning.png/"

OWASP ModSecurity 核心规则集 dev-on-duty 在这里。您几乎正确,但不完全正确。

其实问题不是很严重。它只是告诉您已达到 PCRE 限制。这对您的日志来说很烦人,但 WAF 会继续按预期工作。

您的规则排除的问题在于您不知道是哪个参数导致了问题。警报不会告诉您。我建议您为 951120 使用 path-based 规则排除。查看 netnea 上的教程。com/cms/apache-tutorials/ 了解如何操作。