У нас есть следующие правила, которые не работают, и мы хотели внести в белый список это предупреждение (в средстве просмотра событий), которое содержит «testinguri» в URI.
SecRule REQUEST_URI "@contains testinguri \? Op \ = message" "id: 200006, фаза: 1, nolog, allow, ctl: ruleEngine = DetectionOnly, msg: 'тест 1'"
SecRule REQUEST_URI "@beginsWith / en-us / testinguri? Op = message" "id: 200007, фаза: 1, nolog, allow, ctl: ruleEngine = DetectionOnly, msg: 'тест 2'"
SecRule REQUEST_URI "^ / en-us / testinguri? Op = message. *" "Id: 200008, фаза: 1, nolog, allow, ctl: ruleEngine = DetectionOnly, msg: 'тест 3'"
SecRule REQUEST_URI "@contains testinguri" "id: 200009, фаза: 1, nolog, allow, ctl: ruleEngine = DetectionOnly, msg: 'Тест 4'"
Вышеуказанные правила предназначены для той же цели, но мы помещаем их, если какая-либо версия правила работает, но не повезло.
Ниже приведено предупреждение в средстве просмотра событий, и мы хотим разрешить URI, в котором есть «testinguri». Сейчас он работает в режиме обнаружения.
ModSecurity: Предупреждение. Оператор GE совпал с 5 на TX: inbound_anomaly_score. [файл "C: \ Program Files \ ModSecurity IIS \ owasp-modsecurity-crs / rules / RESPONSE-980-CORRELATION.conf"] [строка "86"]
[id "980130"] [msg "Превышен показатель входящих аномалий (Общая оценка входящих: 5 - SQLI = 0, XSS = 0, RFI = 0, LFI = 0, RCE = 5, PHPI = 0, HTTP = 0, SESS = 0): Удаленное выполнение команд: инъекция команд Windows; отдельные оценки уровня паранойи: 5, 0, 0, 0 "] [тег" корреляция событий "] [имя хоста" имя_компьютера "] [uri" / en-us / testinguri? Op = message & to = FULL URI ... "] [unique_id" 454534234234234 "]
Не могли бы вы помочь с этим. Спасибо.