Конфигурирование modsecurity2

[ns.belov]

Приветствую всех!
Пытаюсь сконфигурить mod_security2 под Apache и возникла проблема:

В нашей системе запросы JSON-RPC, и они на русском языке. В итоге даже валидные детектятся, как SQL и XSS инжекты.
При дефолтном unicode.mapping 20127:

Код: [Выделить]

ARGS:params.\\x5cxd0\\x5cxa4\\x5cxd0\\x5cxb8\\x5cxd0\\x5cxbb\\x5cxd1\\x5cx8c\\x5cxd1\\x5cx82\\x5cxd1\\x5cx80.d: \\x1f@>4-\\x22>@3"Изменили на 65001:

Код: [Выделить]

ARGS:method: \xd0\x91\xd0\xb8\xd0\xbb\xd0\xbb\xd0\xb8\xd0\xbd\xd0\xb3.CreateRequestOnClient
Т.е. с кодировкой трабл всеравно остался. Как разворачивать корректно UTF-8 мы так и не разобрались. Причем, трафик идет в нескольких кодировках ( мы зеркалим с разных серверов на waf) и как сделать авто определение тоже не ясно.


Может кто-нибудь помочь?

[AnrDaemon]

А вы можете внятно объяснить, зачем вам это нужно?

[ns.belov]

А вы можете внятно объяснить, зачем вам это нужно?

Не очень понял вопрос. Зачем нужно настроить, чтобы работало или что нужно?

[bezbo]

валидные детектятся

а если сделать:

Код: [Выделить]

SecResponseBodyAccess Off

[ns.belov]

валидные детектятся

а если сделать:

Код: [Выделить]

SecResponseBodyAccess Off

Response это ответы сервера. У нас они и так выключены. Мы сейчас зеркалим только входящий трафик на сервер с WAF, и он на все отдает OK 200, дропая прочие ответы(чтобы снизить нагрузку на сеть).

[AnrDaemon]

Зачем нужно настроить, чтобы работало или что нужно?

Зачем вам вообще в принципе этот модуль?
Какого конечного эффекта вы планируете добиться?

[ns.belov]

Зачем нужно настроить, чтобы работало или что нужно?

Зачем вам вообще в принципе этот модуль?
Какого конечного эффекта вы планируете добиться?

Мы хотим мониторить периметр на атаки извне. Конечный результат, которого хотим добиться - видеть атаки и быстро на них реагировать. Модуль сам норм, если работать с латиницей, у нас же косяки из-за специфики приложения.

[AnrDaemon]

В интернете вообще ничего кроме латиницы нет. Так что проблемы не вижу.
Если вам нужно вводить кодированные адреса в большом количестве, воспользуйтесь услугами генератора конфигурации.

[ns.belov]

В интернете вообще ничего кроме латиницы нет. Так что проблемы не вижу.
Если вам нужно вводить кодированные адреса в большом количестве, воспользуйтесь услугами генератора конфигурации.

Я не видел под modsecurity генератор конфигурации с поддержкой кириллицы, мало того, смотрел вопросы к разработчикам на гитхабе - у них нет ни стабильного решения, ни однозначного ответа в вопросе поддержки русского языка.
Проблема не только у меня, и каждый костылит как может. Потому мне интересно, есть ли здесь те, кто уже костылил по этой теме и к чему в итоге пришли. Ибо у меня пока сейчас из идей только дописывать сам модуль, что займет не мало времени.