【问题标题】:How to block based on request content to a specific file?如何根据对特定文件的请求内容进行拦截?
【发布时间】:2022-11-18 01:56:39
【问题描述】:

我已经尝试了很多次,我已经按照下面的顺序添加了它们,但是我得不到任何结果。我哪里做错了?

第一次尝试

SecRule REQUEST_FILENAME "@endsWith /wp-admin/admin-ajax.php" \
        "id:1001, \
        deny, \
        t:none, \
        tag: 'Admin ajax post Silderz', chain"
        SecRule REQUEST_BODY "@rx Silderz"

第二次尝试

SecRule REQUEST_FILENAME "^/wp-admin/admin-ajax\.php$" \
        "id:1001, \
        deny, \
        t:none, \
        tag: 'Admin ajax post Silderz', chain"
        SecRule REQUEST_BODY "action=Silderz\&nonce=\w{1,}"

第三次尝试

SecRule REQUEST_FILENAME "^/wp-admin/admin-ajax\.php$" \
        "id:1001, \
        deny, \
        t:none, \
        tag: 'Admin ajax post Silderz', chain"
        SecRule REQUEST_BODY "^action=Silderz\&nonce=\w{1,}$"

这是传出的 FormData 请求;

action: 
Silderz
nonce: 
4e2cad2579

和 请求标头;

:authority: www.bursterksed.com
:method: POST
:path: /wp-admin/admin-ajax.php
:scheme: https
accept: application/json, text/javascript, */*; q=0.01
accept-encoding: gzip, deflate, br
accept-language: tr-TR,tr;q=0.9,en-US;q=0.8,en;q=0.7,az;q=0.6,de;q=0.5,fr;q=0.4,ru;q=0.3,pt;q=0.2,hu;q=0.1
content-length: 34
content-type: application/x-www-form-urlencoded; charset=UTF-8
.......
.......
.......

【问题讨论】:

  • CRS Dev-On-Duty 在这里。我测试了你的第一条规则,它对我有用。我不得不删除tag: 之后的空格。但规则应该有效。我把你这4行内容放到了一个名为data的文件中,用curl测试了一下:curl -vd @data http://localhost:80/wp-admin/admin-ajax.php。你能分享你的 ModSecurity 设置吗?您是否可以使用 HTTP/1.1 而不是 HTTP/2 对其进行测试?

标签: mod-security mod-security2


【解决方案1】:

它不起作用,因为我没有指定相位状态。 “阶段:2”=> REQUEST_BODY

以下规则集工作正常。

SecRule REQUEST_FILENAME "@endsWith /wp-admin/admin-ajax.php" 
        "id:1001, 
        phase:2, 
        deny, 
        nolog, 
        t:none, 
        tag: 'Admin ajax post Silderz', chain"
        SecRule ARGS_NAMES|ARGS|REQUEST_BODY|REQUEST_HEADERS|XML "@rx ^action=Silderz&nonce=w{1,}" "t:lowercase"

【讨论】:

    猜你喜欢
    • 2020-09-20
    • 1970-01-01
    • 2014-05-26
    • 1970-01-01
    • 1970-01-01
    • 2015-08-09
    • 2013-06-07
    • 2019-04-08
    • 2021-03-03
    相关资源
    最近更新 更多