mod-security fals pozitív?

Security-all

Sziasztok

Cégen belül próbálkozom pár weboldalnál bekapcsolni, mert könnyebb apache szinten megfogni a csúnya postokat, mint php-ból. Utóbbi jobban pörgeti a CPU-t és több hibázási lehetőséget rejt.

A gond viszont az, hogy több false pozitív riasztást ad.
Pl. ha egy fájlt töltenek fel, OK, ha többet már riaszt a 200004 ID-s rule. Ezt a neten többé kevésbé kamunak veszik, kapcsoljam ki..oké.

Aztán ha ckeditorral szerkesztjük az oldalt, akkor még 5 másik rule-t ki kell kapcsolni, mert beleköt a felpostolt tartalom html kódjaiba. Megnéztem egy teszt wordpress ckeditorral, nem feltéten a fejlesztőink a totál bénák. Wordpress szerkesztés is elhasalna alapból.
Jobb híján adott url-eken adott rule-okat kikapcsoltam.
Konkrétan: 


 LocationMatch "/xxxx/edit|add/*"
    SecRuleRemoveById 932100
    SecRuleRemoveById 980130
    SecRuleRemoveById 949110
    SecRuleRemoveById 932115
    SecRuleRemoveById 941100
    SecRuleRemoveById 941160
 /LocationMatch

Lehet ezt szebben csinálni?
Mit kell kérjek a fejlesztőinktől, hogy mod-security comfort legyen a kódjuk?

  • 1111 megtekintés

( Proci85 v | 2019. 03. 21., cs – 12:58 )

Senki?
Ma már nem menő használni vagy senki nem futott bele ilyen hibába? Van jobb security tool az sql injection és társai hatékony blokkolására?
Elvileg nem hulladék a mod-security, ha layer7 tűzfalakba, különféle appliance-ekbe is pakolják.

Ma már nem menő használni vagy senki nem futott bele ilyen hibába?
Elnézve a szolgáltatókat, szerintem egyre többen állítanak be ModSecurity-t.

Van jobb security tool az sql injection és társai hatékony blokkolására?
passz, én úgy tudom open-source megoldás csak a ModSecurity van.

Elvileg nem hulladék a mod-security, ha layer7 tűzfalakba, különféle appliance-ekbe is pakolják.
Az appliance-ok fejlesztői ezeket az anomáliákat jellemzően kiszűrik, ill mikor megveszed, akkor a hozzákapott support órákon belül megmondja a megoldást.

A ModSecurity "csak" egy "automata" (nyilván ugyanúgy tartalmaz hibákat, mind minden más), a teljes mechanizmust a ruleset-tel együtt szolgáltatja.

( airween v | 2019. 03. 22., p – 11:07 )

Kicsit kevés az infó szerintem.

200004-es rule: igen, van egy ilyen ismert hiba a 2-es verzióban (nb: a 3-asban én javítottam :P)), nem tudni, ez mikor lesz javítva.

A többinél: kapcsold be a debug logot, az elég bőbeszédű, lehet, hogy mégis találsz olyat, amit tudsz továbbítani a fejlesztőknek. Felsoroltál 6 szabályt, egy-egy szabállyal el lehet tökölni elég sok időt :). Ha mégis valami anomália van (tehát szerintetek mindent jól csináltok), akkor lehet jelezni azt a CRS fejlesztőknek, ott relatíve jó a reakció idő, vagy a modsec-es fejlesztőknek, ott viszont a Jézuska hozza majd ajándékba a megoldást :). (És inkább írj issue-t a Github-on, mint e-mailt a listára.)

HTH

( opt | 2019. 03. 22., p – 17:54 )

Nem vagyok naprakész a témában, de emlékszem, hogy lehet találni szabályokat kimondottan WP admin felülethez,... azaz kivételeket, hogy mit kell engedni ahhoz, hogy ne feküdjön meg az egész az első videó beillesztésnél, fájlfeltöltésnél, ...
Naplózni kell egy darabig, aztán egyeztetni a fejlesztőkkel.