堆棧內存溢出
  簡體   English   中英

Modsecurity OWASP 核心規則集 - base64 誤報規則 941170

[英]Modsecurity OWASP Core Rule Set - base64 false positive rule 941170

 原文  2021-10-07 07:22:06       nginx/ base64/ owasp/ mod-security

問題描述

我們使用帶有 OWASP 核心規則集的 NGIX 的 ModSecurity 3.X。

我們在 base64 中的圖像和規則941170有問題。

規則的模式是

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|REQUEST_HEADERS:User-Agent|REQUEST_HEADERS:Referer|ARGS_NAMES|ARGS|XML:/* "@rx (?i)(?:\W|^)(?:javascript:(?:[\s\S]+[=\\\(\[\.<]|[\s\S]*?(?:\bname\b|\\[ux]\d))|data:(?:(?:[a-z]\w+\/\w[\w+-]+\w)?[;,]|[\s\S]*?;[\s\S]*?\b(?:base64|charset=)|[\s\S]*?,[\s\S]*?<[\s\S]*?\w[\s\S]*?>))|@\W*?i\W*?m\W*?p\W*?o\W*?r\W*?t\W*?(?:\/\*[\s\S]*?)?(?:[\"']|\W*?u\W*?r\W*?l[\s\S]*?\()|\W*?-\W*?m\W*?o\W*?z\W*?-\W*?b\W*?i\W*?n\W*?d\W*?i\W*?n\W*?g[\s\S]*?:[\s\S]*?\W*?u\W*?r\W*?l[\s\S]*?\("

日志:

HTTP/1.1 200
Access-Control-Max-Age: 600
Access-Control-Allow-Headers: x-requested-with, Content-Type, origin, authorization, accept, client-security-token
Set-Cookie: SESSION_ID=b57248f3aa2ac2c169e664b1862e49ed_; path=/
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE, PUT
Date: Wed, 06 Oct 2021 16:06:52 GMT
Cache-Control: no-cache, no-store
Connection: keep-alive
Content-Type: text/xml; charset=utf-8; boundary=xYzZY
Access-Control-Expose-Headers: Content-Security-Policy, Location
Content-Length: 67
Server: nginx
Pragma: no-cache
Access-Control-Allow-Origin: *

---RleKJMgH---H--
ModSecurity: Warning. Matched "Operator `Rx' with parameter `(?i)(?:\W|^)(?:javascript:(?:[\s\S]+[=\\\(\[\.<]|[\s\S]*?(?:\bname\b|\\[ux]\d))|data:(?:(?:[a-z]\w+\/\w[\w+-]+\w)?[;,]|[\s\S]*?;[\s\S]*?\b(?:base64|charset=)|[\s\S]*?,[\s\S]*?<[\s\S]*?\w[\s\S]*?>))|@\ (188 characters omitted)' against variable `ARGS:screen' (Value: `data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/4gIoSUNDX1BST0ZJTEUAAQEAAAIYAAAAAAIQAABtbnRyUkdCI (47619 characters omitted)' ) [file "/etc/nginx/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "236"] [id "941170"] [rev ""] [msg "NoScript XSS InjectionChecker: Attribute Injection"] [data "Matched Data: data:image/jpeg; found within ARGS:screen: data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/4gIoSUNDX1BST0ZJTEUAAQEAAAIYAAAAAAIQAABtbnRyUkdCIFhZWiAAAAAAAAAAAAAAAABhY3NwAAAAAAAAAAAAAAAA (47576 characters omitted)"] [severity "2"] [ver "OWASP_CRS/3.2.0"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"] [hostname "192.168.1.1"] [uri "/wsrfef.subirArchivo"] [unique_id "1633536412"] [ref "o0,16v1288,47719t:utf8toUnicode,t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,t:removeNulls"]
ModSecurity: Warning. Matched "Operator `Ge' with parameter `5' against variable `TX:ANOMALY_SCORE' (Value: `5' ) [file "/etc/nginx/owasp-modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "80"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [data ""] [severity "2"] [ver "OWASP_CRS/3.2.0"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic"] [hostname "192.168.1.1"] [uri "/wsrfef.subirArchivo"] [unique_id "1633536412"] [ref ""]

現在我們正在使用SecRuleUpdateTargetById 941170 "!ARGS:screen"命令,但這樣其余的檢查就不會應用

有什么方法可以修改規則的模式,使其不會將 base64 檢測為 NoScript XSS InjectionChecker: Attribute Injection?

1 個解決方案

解決方案1
 1 已采納  2021-10-08 12:41:08

您提供的SecRuleUpdateTargetById規則排除對我來說很好。

需要明確的是,該規則排除的效果是:

  • 規則 941170 不再適用於screen參數
  • 規則 941170 仍然像往常一樣適用於所有其他論點
  • 所有其他規則仍然適用於所有參數,包括screen ,像往常一樣

你有什么理由對此不滿意嗎?

如果您正在運行超高安全性設置,這意味着SecRuleUpdateTargetById規則排除過於粗糙,我會提出兩個建議:

  • 如果適用於您的 Web 應用程序,請將規則 941170 的規則排除限制為適用於screen參數適用於給定位置(例如,僅適用於對/login.php請求)

  • 將規則 941170 的規則排除限制為適用於screen參數,並且screen以字符串data:image/jpeg;base64開頭時

您甚至可以將這兩個建議結合起來,使其非常具體。

如果其中一個或兩個聽起來適用於您的情況,請告訴我您是否需要幫助將這些規則排除放在一起。

另外,出於興趣,您目前處於什么偏執程度?

關於你修改規則941170的正則表達式的建議,直接修改第三方規則,比如Core Rule Set規則,是個壞主意。 您基本上最終會創建自己的規則集分支,並且您有責任維護您所做的任何修改。 升級規則集將變得困難:您必須記住不斷重新應用並可能更改您的修改。 簡而言之:規則排除是要走的路!

更新

上面描述的第二個規則排除可能如下所示:

#
# -- CRS Rule Exclusion: 941170 - NoScript XSS InjectionChecker: Attribute
#                                 Injection
#
# Disable this rule for the "screen" argument when it begins with the string
# "data:image/jpeg;base64,". This resolves a false positive caused by base64
# encoded images.
#
SecRule ARGS:screen "@beginsWith data:image/jpeg;base64," \
    "id:1000,\
    phase:2,\
    pass,\
    nolog,\
    ctl:ruleRemoveTargetById=941170;ARGS:screen"

排除項需要放在包含核心規則集的指令之前

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在ModSecurity規則中添加例外(SecRuleUpdateTargetById)不起作用? 如何添加 ModSecurity 規則來阻止某些 http 請求? Rancher 2 負載均衡器的 modsecurity + OWASP 規則 owasp-modsecurity-crs已檢測到但未拒絕該請求 設置Nginx重定向規則優先級 使用NGINX的WAF owasp modsecurity crs中“尚不支持SecCollectionTimeout” 如何防止 owasp/modsecurity Docker 容器覆蓋我的 nginx.conf 如何在 nginx 入口控制器的入口規則中設置保持活動狀態 如何使用正則表達式路徑設置Kubernetes Ingress規則? HTACCESS規則到NGINX配置文件(一個規則)
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM