Igazából azt nem értem, mit ér egy ennyire erős szabályrendszer, ha már a normál folyamatokat is megfogja, vagyis úgyis ki fogják kapcsolni?
A kérdés részben jogos, a szabályrendszer elég szigorú, elég sokat foglalkozik a csapat a false pozitív hibák redukálásával (CRS fejlesztő vagyok, vagy mi :)).
Szerintem érdemes lenne megnézni a konkrét esetet - most épp sehol nincs WP+ModSec+CRS környezet telepítve, nem tudom kipróbálni. Ha elküldöd a logokat (privátban), megpróbálom megnézni, mi lehet a gond. Szerintem inkább valami helyi megoldás miatt van ez. Az is lehet, hogy nem a CRS fogja meg a kérést, hanem maga az engine. Én pár hete telepítettem legutoljára egy helyre CRS+ModSec konfigot, ott Tomcat van valami saját API-val, és alig volt FP (false pozitív) találat. És azon belül is volt, ami az engine váltott ki (tehát maga a ModSec).
Nehéz olyan produktumot előállítani, ami mindenkinek megfelel. Ha a normál folyamatokon túli támadásokat nem fogja meg, akkor bizonyára annak is lenne visszhangja. A ModSecurity egy első generációs WAF, szerintem (és ez csak magánvélemény) a CRS-en keresztül nehéz lesz többet kihozni. Ezen kívül az üzemeltetéshez is egyre több ismeret kell (lásd a te eseted).
Nemcsak WP-hez kell, de köszönöm a linket, mert lassan úgy érzem, a CRS maradéka már túl sokat nem véd. :O
Ezt kicsit ellentmondásosnak érzem :).
A CRS egy részét te kapcsolod ki, mert úgy ítéled, hogy hibásan fogja meg a kéréseket - ez ok. De lehet, hogy a többi támadást meg pont a maradék fogná meg :).