ajout de précisions pour ModSecurity
This commit is contained in:
parent
e7fc0227ae
commit
e27f1b5560
|
@ -1202,11 +1202,11 @@ C'est notamment là qu'on peut autoriser les méthodes HTTP bloquées par défau
|
|||
|
||||
#### Affinage des règles pour les applications web type Wordpress
|
||||
|
||||
Le ModSecurity Core Rule Set contient des règles spécifiques pour traiter les faux positifs lié à l'utilisation de certaines applications web tel que Wordpress.
|
||||
Voir <https://coreruleset.org/docs/concepts/false_positives_tuning/>
|
||||
|
||||
Celles-ci sont désactivées par défaut et peuvent être activées en définissant certaines variables de ModSecurity.
|
||||
Le ModSecurity Core Rule Set contient des règles spécifiques pour traiter les faux positifs liés à l'utilisation de certaines applications web tel que WordPress.
|
||||
|
||||
Un exemple est présent dans le [dépot GitHub Core Rule Set](https://github.com/coreruleset/coreruleset) :
|
||||
Il faut alors activer une règle de ce type en sélectionnant la ligne correspondant à son applications, par exemple `tx.crs_exclusions_wordpress=1` :
|
||||
|
||||
~~~
|
||||
#SecAction \
|
||||
|
@ -1223,6 +1223,14 @@ Un exemple est présent dans le [dépot GitHub Core Rule Set](https://github.com
|
|||
# setvar:tx.crs_exclusions_phpmyadmin=1,\
|
||||
# setvar:tx.crs_exclusions_wordpress=1,\
|
||||
# setvar:tx.crs_exclusions_xenforo=1"
|
||||
|
||||
SecAction \
|
||||
"id:900130,\
|
||||
phase:1,\
|
||||
nolog,\
|
||||
pass,\
|
||||
t:none,\
|
||||
setvar:tx.crs_exclusions_wordpress=1"
|
||||
~~~
|
||||
|
||||
|
||||
|
@ -1253,6 +1261,15 @@ On peut ensuite les désactiver au cas par cas dans un vhost ou dans un `conf.d`
|
|||
</IfModule>
|
||||
~~~
|
||||
|
||||
#### Ajouter des règles
|
||||
|
||||
On peut écrire ses propres règles que l'on mettra par exemple dans un fichier `/etc/modsecurity/*.conf`.
|
||||
|
||||
~~~
|
||||
$ cat /etc/modsecurity/cve-2018-6389.conf
|
||||
|
||||
SecRule REQUEST_URI "@rx (?i:/wp-admin/load-scripts.php?.*?(load%5B%5D|load\[\]|load%5B\]|load\[%5D)=([^&,]*,){13,})" "id:20186389,msg:'Potential use of CVE-2018-6389',deny"
|
||||
~~~
|
||||
|
||||
#### Désactiver ModSecurity pour un vhost ou un répertoire
|
||||
|
||||
|
|
Loading…
Reference in a new issue