我使用的是Apache 2.4.29,刚刚更新到最新的OWASP规则。当包含1---的名为usprivacy的cookie存在时,mod_security模块返回一个403错误。我怀疑这是SQL注入攻击规则之一,但到目前为止我还不能确定是哪一个。我试过了:
SecRuleRemoveById 942440 942280 942180 942210 942300 942340 942370
但是当usprivacycookie出现时,我仍然得到403错误。
你是否知道是哪条规则导致了这个问题,或者这是否是解决问题的正确途径?
检查Apache错误日志,看看发生了什么(或者审计日志,如果您启用了这些日志)。如果ModSecurity规则被触发,那么应该有日志行来描述发生了什么。
您应该看到一个描述性的摘要消息,如:
ModSecurity: Warning. Pattern match "^[\\d.:]+$" at REQUEST_HEADERS:Host
被触发的规则:
[id "960017"]
此外,通常还包括导致规则匹配的其他有用信息,如:
[msg "Host header is a numeric IP address"] [data "10.0.100.4"]
使用日志中的信息,您可以编写规则排除来解决问题。正如您所提到的,SecRuleRemoveById是编写规则排除的一种方法,但是这是一种生硬的工具(尽管它是排除ModSecurity规则的最简单方法)。
关于编写规则排除的不同方法的更多信息,这里有一个很好的参考教程。