Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Конфигурирование modsecurity2  (Прочитано 447 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ns.belov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Конфигурирование modsecurity2
« : 03 Февраль 2017, 13:25:14 »
Приветствую всех!
Пытаюсь сконфигурить mod_security2 под Apache и возникла проблема:

В нашей системе запросы JSON-RPC, и они на русском языке. В итоге даже валидные детектятся, как SQL и XSS инжекты.
При дефолтном unicode.mapping 20127:
ARGS:params.\\x5cxd0\\x5cxa4\\x5cxd0\\x5cxb8\\x5cxd0\\x5cxbb\\x5cxd1\\x5cx8c\\x5cxd1\\x5cx82\\x5cxd1\\x5cx80.d: \\x1f@>4-\\x22>@3"Изменили на 65001:
ARGS:method: \xd0\x91\xd0\xb8\xd0\xbb\xd0\xbb\xd0\xb8\xd0\xbd\xd0\xb3.CreateRequestOnClient
Т.е. с кодировкой трабл всеравно остался. Как разворачивать корректно UTF-8 мы так и не разобрались. Причем, трафик идет в нескольких кодировках ( мы зеркалим с разных серверов на waf) и как сделать авто определение тоже не ясно.


Может кто-нибудь помочь?
« Последнее редактирование: 07 Февраль 2017, 12:20:38 от ns.belov »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27413
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #1 : 04 Февраль 2017, 17:05:24 »
А вы можете внятно объяснить, зачем вам это нужно?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ns.belov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #2 : 06 Февраль 2017, 09:38:12 »
А вы можете внятно объяснить, зачем вам это нужно?
Не очень понял вопрос. Зачем нужно настроить, чтобы работало или что нужно?

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1443
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #3 : 06 Февраль 2017, 10:05:40 »
валидные детектятся

а если сделать:
SecResponseBodyAccess Off

Оффлайн ns.belov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #4 : 06 Февраль 2017, 10:23:19 »
валидные детектятся

а если сделать:
SecResponseBodyAccess Off
Response это ответы сервера. У нас они и так выключены. Мы сейчас зеркалим только входящий трафик на сервер с WAF, и он на все отдает OK 200, дропая прочие ответы(чтобы снизить нагрузку на сеть).

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27413
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #5 : 06 Февраль 2017, 12:38:46 »
Зачем нужно настроить, чтобы работало или что нужно?
Зачем вам вообще в принципе этот модуль?
Какого конечного эффекта вы планируете добиться?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ns.belov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #6 : 06 Февраль 2017, 12:55:48 »
Зачем нужно настроить, чтобы работало или что нужно?
Зачем вам вообще в принципе этот модуль?
Какого конечного эффекта вы планируете добиться?
Мы хотим мониторить периметр на атаки извне. Конечный результат, которого хотим добиться - видеть атаки и быстро на них реагировать. Модуль сам норм, если работать с латиницей, у нас же косяки из-за специфики приложения.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27413
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #7 : 06 Февраль 2017, 13:09:14 »
В интернете вообще ничего кроме латиницы нет. Так что проблемы не вижу.
Если вам нужно вводить кодированные адреса в большом количестве, воспользуйтесь услугами генератора конфигурации.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ns.belov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Конфигурирование modsecurity2
« Ответ #8 : 06 Февраль 2017, 14:49:37 »
В интернете вообще ничего кроме латиницы нет. Так что проблемы не вижу.
Если вам нужно вводить кодированные адреса в большом количестве, воспользуйтесь услугами генератора конфигурации.
Я не видел под modsecurity генератор конфигурации с поддержкой кириллицы, мало того, смотрел вопросы к разработчикам на гитхабе - у них нет ни стабильного решения, ни однозначного ответа в вопросе поддержки русского языка.
Проблема не только у меня, и каждый костылит как может. Потому мне интересно, есть ли здесь те, кто уже костылил по этой теме и к чему в итоге пришли. Ибо у меня пока сейчас из идей только дописывать сам модуль, что займет не мало времени.

 

Страница сгенерирована за 0.305 секунд. Запросов: 24.