- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我在 CentOS 7 上设置了 Apache2 + PHP5
我的 Web 应用程序的一些 PHP,它们接受 UUID 作为 GET 参数,这违反了 ModSecurity URI 模式。
我想设置 ModSecurity 以绕过特定 URI 的安全检查。
我怎样才能做到这一点?
谢谢!
最佳答案
您可以像这样创建排除规则:
SecRule REQUEST_FILENAME "@endsWith /dir/script.php" \
"id:1000,\
phase:2,\
pass,\
t:none,\
nolog,\
ctl:ruleRemoveTargetById=932130;ARGS:get_or_post_parameter,\
ctl:ruleRemoveTargetById=941100;ARGS:get_or_post_parameter,\
ctl:ruleRemoveTargetById=932130;ARGS:get_or_post_parameter2"
在第一行设置您的 URI,并在规则的末尾,为规则 ID 和 GET/POST 参数名称对添加排除项(如上例所示)。最后,将规则放入文件 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf 中。
关于php - 特定 uri 的 ModSecurity 白名单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70210442/
我正在寻找一种方法,使规则(触发了哪个规则)的消息信息出现在错误和/或审核日志文件中,并在响应 header 中发送回客户端。我知道有阶段“msg”,但它不会在响应 header 中将信息发送回客户端
我正在尝试在Docker容器中使用ModSecurity Rule set设置Apache服务器。我遵循了一些教程(this,this和this)来构建安全的Apache服务器。但是我无法使服务器使用
我做了很多研究,找到了很多东西,但还没有能够确定一些可以满足我需要的东西。首先,我在运行 ModSecurity 2.7.3 的 CentOS 7 服务器上。 目标 我希望能够扫描除某些参数之外的所有
我已经安装了 Owasp ModSecurity,之后我的应用程序上的所有页面都有这个规则警报。 ModSecurity: Warning. Match of "eq 1" against "&ARG
我正在尝试为 Apache 配置 modsecurity 以限制每单位时间可以访问给定资源的点击次数(假设每个资源每分钟 10 次点击,无论请求是哪个 IP 地址)。资源具有“https://myho
今天,我为 nginx 安装了 mod_security。我将以下 block 添加到 /etc/nginx/nginx 中: server { listen 80; server_nam
我根据 this link 通过 nginx 入口 Controller 的配置映射启用了 modsecurity: "true"和 enable-owasp-modsecurity-crs: "tr
我在 Mod 安全方面遇到了很多问题。我正忙于为工作中的项目编写 CMS,而在开发页面以编辑特定数据库记录时,我不断收到 403 错误。在我的头撞在 table 上几个小时后,调整了一些代码,我终于改
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维
我在 CentOS 7 上设置了 Apache2 + PHP5 我的 Web 应用程序的一些 PHP,它们接受 UUID 作为 GET 参数,这违反了 ModSecurity URI 模式。 我想设置
ModSecurity 尝试打开 url 时出现误报:https://www.galgani.it/solitudine-contesti-virtuali-internet-facebook-soc
我已经安装了 ModSecurity 和核心 OWASP 规则集版本 2.2.5 几个月了,但是网站上的一个 JSON 端点最近停止响应,并且 Apache 日志得到以下内容: [Tue Jul 21
我正在尝试为 Nginx OSS Web 服务器编译 ModSecurity。我已按照他们的“快速入门指南”中的所有说明进行操作,但遇到了问题。连接新模块后,配置测试失败。 /var/log/ngin
我正在尝试一起构建 Nginx 和 ModSecurity 以便使用 OWASP- Core Rule Set Project . 根据 modsecurity 下载页面,最新版本的 modsecur
我正在尝试在 Windows 中安装 ModSecurity 以帮助保护我的 Coldfusion/Railo 网站。我下载并安装了 MSI,但在我测试以确保它正常工作时它似乎没有阻止 SQL 注入(
基于 DOM(类型 0)的 XSS 不需要向服务器发送恶意代码,因此它们也可以使用静态 HTML 页面作为攻击向量。此处的虚拟攻击字符串示例如下: http://www.xssed.edu/home.
我让 Apache 和 Modsecurity 一起工作。我试图通过请求的 header (如“facebookexternalhit”)来限制命中率。然后返回友好的“429 Too Many Req
我在我的 Cpanel 服务器上遇到了这个错误。它不会在每次更新时发生,只是一些 SQL。 [Sat Mar 11 03:48:18.409435 2017] [:error] [pid 31376:
modsecurity 是否有一个在没有 Apache 的情况下工作的 nginx 或 Tomcat 模块? 最佳答案 是的。 Mod-security 有用于 nginx、IIS 和 java 的模
我在 modsecurity 中有很多规则,但如果主机在 SSL https://SERVER_IP 中是数字,则没有任何规则有效,我得到这样的响应: 400 Bad Request No requi
我是一名优秀的程序员,十分优秀!