Apache mod_secure，禁用包含“1---”的cookie规则

Posted 2023-02-19

【中文标题】Apache mod_secure，禁用包含“1---”的cookie规则

【英文标题】：Apache mod_secure, disable rule for cookie containing "1---"

【发布时间】：2021-12-07 02:38:27

【问题描述】：

我使用的是 Apache 2.4.29，并且刚刚更新到最新的 OWASP 规则。 当存在名为 usprivacy 且包含 1--- 的 cookie 时，mod_security 模块会返回 403 错误。 我怀疑它是 SQL 注入攻击规则之一，但到目前为止我还无法确定是哪一个。我试过了：

SecRuleRemoveById 942440 942280 942180 942210 942300 942340 942370

但是当usprivacy cookie 出现时，我仍然收到 403 错误。

您对哪个规则可能导致问题有任何想法，或者这是否是解决问题的正确途径？

【参考方案1】：

检查您的 Apache 错误日志以了解发生了什么（或审核日志，如果您启用了这些日志）。如果触发了 ModSecurity 规则，那么应该有日志行来描述正在发生的事情。

您应该会看到描述性摘要消息，例如：

ModSecurity: Warning. Pattern match "^[\\\\d.:]+$" at REQUEST_HEADERS:Host

被触发的规则：

[id "960017"]

此外，通常还包括有关导致相关规则匹配的原因的其他有用信息，例如：

[msg "Host header is a numeric IP address"] [data "10.0.100.4"]

使用日志中的信息，您可以编写规则排除来解决问题。正如您所提到的，SecRuleRemoveById 是编写规则排除的一种方法，但这有点生硬（尽管它是排除 ModSecurity 规则的最简单方法）。

有关编写规则排除的不同方法的更多信息，有一个很好的参考教程here。