我正在使用OWASP中的新CoreRuleSet 3.0,遇到了一种情况,即偏执级别被忽略,文件中的所有规则都在运行。
在CRS-SETUP配置文件中,有一个设置偏执级别的块:
SecAction\"id:900000\阶段:1\nolog\通过\t: 无\setvar:tx.panoa_level=2">
然后包括
992_段落.conf其中包含:
SecRule TX:PARANOIA_LEVEL "@lt 4" "phase:3,id:992017,nolog,pass,skipAfter:END-PARANOIA-992"
SecRule TX:PARANOIA_LEVEL"@lt 4"阶段:4,id:992018,nolog,pass,skipAfter:END-PARANOIA-992">
#偏执狂4级(仅当tx.Paranoia_lalevel足够高时适用:4或更高)
SecRule ARGS"(海象)"\"阶段:2\id:992100\捕获\logdata:'匹配的数据:%{TX.0}在%{Matched_VAR}中找到:%{Matched_VAR}PARANOIA_LEVEL=%{TX.PARANOIA_laevel}'\标签:'测试规则阻止海象'\日志\标签:'等级/4'\块">
SecMarker"END-PARANOIA-992">
在一个表单字段中,我输入了"海象"一词,我被屏蔽了,日志显示该规则被触发,偏执狂级别仍然是2,而不是4。
当我在点击帖子之前复习问题时,我看到了曙光。我可能复制了响应(第3阶段和第4阶段)中的偏执狂级别样板,但我的规则是第2阶段规则(请求)。用妄想症级别跳过块修复阶段修复了问题。