Errores de ModSecurity relacionados con REQUEST_METHOD HTTP / 1.1 y GET

Question

Errores de ModSecurity relacionados con REQUEST_METHOD HTTP / 1.1 y GET

#1 de Ali Ahmad (3 votos)
#2 de Thomas Pornin (2 votos)
#3 de http (0 votos)

1

Le pedí a mi host que activara el archivo de registro, y ha aumentado mucho desde entonces. Se han ido incrementando con 700 mb durante la última semana. Está lleno de mensajes de error relacionados con Mod Security.

La mayoría de ellos se ven así:

[Thu Jun 20 16:49:01 2013] [error] [client 157.55.33.88] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/page-pr-2317.html"] [unique_id "UcMWXcCoEXsAAE4QF8QAAAAh"]

[Thu Jun 20 16:49:01 2013] [error] [client 157.55.33.88] ModSecurity: Warning. Match of "within %{tx.allowed_http_versions}" against "REQUEST_PROTOCOL" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "77"] [id "960034"] [msg "HTTP protocol version is not allowed by policy"] [data "HTTP/1.1"] [severity "CRITICAL"] [tag "POLICY/PROTOCOL_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.10"] [hostname "www.url.se"] [uri "/page-pr-2317.html"] [unique_id "UcMWXcCoEXsAAE4QF8QAAAAh"]

[Thu Jun 20 16:49:02 2013] [error] [client 95.211.116.112] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/images/image.jpg"] [unique_id "UcMWXsCoEXsAACkYfrAAAAAN"]

[Thu Jun 20 16:49:02 2013] [error] [client 95.211.116.112] ModSecurity: Warning. Match of "within %{tx.allowed_http_versions}" against "REQUEST_PROTOCOL" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "77"] [id "960034"] [msg "HTTP protocol version is not allowed by policy"] [data "HTTP/1.1"] [severity "CRITICAL"] [tag "POLICY/PROTOCOL_NOT_ALLOWED"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.10"] [hostname "www.url.se"] [uri "/images/image.jpg"] [unique_id "UcMWXsCoEXsAACkYfrAAAAAN"]

[Tue Jun 25 20:18:18 2013] [error] [client 85.224.51.23] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "GET"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/images/image2.gif"] [unique_id "Ucne6sCoEXsAAHXDKMwAAAA9"]

[Tue Jun 25 20:17:58 2013] [error] [client 81.234.144.108] ModSecurity: Warning. Match of "within %{tx.allowed_methods}" against "REQUEST_METHOD" required. [file "/etc/httpd/conf.d/modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf"] [line "30"] [id "960032"] [msg "Method is not allowed by policy"] [data "POST"] [severity "CRITICAL"] [tag "POLICY/METHOD_NOT_ALLOWED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A6"] [tag "OWASP_AppSensor/RE1"] [tag "PCI/12.1"] [hostname "www.url.se"] [uri "/page2-p-500.html"] [unique_id "Ucne1sCoEXkAAE@LBx8AAABK"]

Le pregunté a mi anfitrión y me dijeron que parte del mensaje de error podría depender de que el visitante use navegadores antiguos que no tengan el protocolo HTTP / 1.1.

También me dijeron que la configuración en mod_security debería permitir GET, HEAD, POST y OPTIONS, pero por alguna razón, da un mensaje de error para esto de todos modos. No me han dicho por qué, y no parece que vayan a investigarlo. Vi que una de las IP pertenece a Bingbot.

No he encontrado ningún mensaje de error en el sitio de cuentas, pero puedo ver mi IP en el registro de errores.

No sé mucho acerca de mod_security, así que necesito algo de orientación. Encontré una pregunta similar en enlace

Pero como estoy en un host compartido, no puedo cambiar ninguna configuración. Solo puedo encender y de mod_security.

Entonces, ¿alguien puede decirme qué podría causar estos masajes de error?

¿Debo desactivar mod_security?

http waf mod-security

pregunta Fredrik Johansson 05.07.2013 - 19:12

fuente

3 respuestas

Lea otras preguntas en las etiquetas http waf mod-security

cómo saber qué función hash se ha utilizado SSL: ¿MITM posible si se conoce la clave privada? [cerrado]

score 3 · Answer 1

Las reglas de ModSecurity-CRS no funcionarán hasta que tengamos reglas ajustadas de acuerdo con nuestros requisitos. Las entradas del registro nos dan tres datos.

tx.allowed_methods
tx.allowed_http_versions
modsecurity-crs/base_rules/modsecurity_crs_30_http_policy.conf

Entonces, ¿cuáles son tx.allowed_methods y tx.allowed_http_version ? estas son las variables de transacciones que estamos usando para definir los métodos y la versión de HTTP permitidos para nuestra aplicación y modsecurity_crs_30_http_policy.conf usará estas variables para la implementación de políticas.

Necesitamos inicializar estas variables y las siguientes reglas definen estas variables

SecAction "phase:1,t:none,nolog,pass, \
setvar:'tx.allowed_methods=GET HEAD POST OPTIONS', \
setvar:'tx.allowed_request_content_type=application/x-www-form-urlencoded
multipart/form-data text/xml application/xml', \
setvar:'tx.allowed_http_versions=HTTP/0.9 HTTP/1.0 HTTP/1.1', \
setvar:'tx.restricted_extensions=.asa .asax .ascx .axd .backup .bak .bat
.cdx .cer .cfg .cmd .com .config .conf .cs .csproj .csr .dat .db .dbf .dll
.dos .htr .htw .ida .idc .idq .inc .ini .key .licx .lnk .log .mdb .old .pass .pdb .pol .printer .pwd .resources .resx .sql .sys .vb .vbs .vbproj
 .vsdisco .webinfo .xsd .xsx', \
setvar:'tx.restricted_headers=Proxy-Connection Lock-Token Content-Range

La segunda regla usa estas variables definidas en las reglas.

SecRule REQUEST_BASENAME "\.(.*)$" "chain,capture,setvar:tx.extension=.%{tx.1}/,phase:2,t:none,t:urlDecodeUni,t:lowercase,block,msg:'URL file extension is restricted by policy',severity:'2',rev:'2',ver:'OWASP_CRS/2.2.9',maturity:'9',accuracy:'9',id:'960035',tag:'OWASP_CRS/POLICY/EXT_RESTRICTED',tag:'WASCTC/WASC-15',tag:'OWASP_TOP_10/A7',tag:'PCI/6.5.10',logdata:'%{TX.0}'"
        SecRule TX:EXTENSION "@within %{tx.restricted_extensions}" "t:none,setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/POLICY/EXT_RESTRICTED-%{matched_var_name}=%{matched_var}"

score 2 · Answer 2

ModSecurity es un tipo de servidor de seguridad de nivel web (por lo menos, afirma el manual ). Su objetivo es permitirle establecer filtros para solicitudes adaptadas a su aplicación específica. Poder activarlo y desactivarlo, pero no para modificar su configuración anula sus beneficios. Así que mi consejo sería desactivarlo. Es como tener una puerta de acero en su casa, pero dándole la llave a un portero que decidirá cuándo está abierta y cuándo está cerrada sin consultarle.

En su situación, "algo" en la configuración de ModSecurity lo hace incómodo, pero solo hasta el punto de emitir advertencias , lo que hace que los registros crezcan pero no bloqueen las solicitudes, explicando por qué. Desde tu navegador, las cosas parecen estar bien.

score 0 · Answer 3

Por su pregunta, parece que esta pregunta es para un servidor Apache. Soy un experto en IIS, pero no conozco a Apache, así que puedo especular algunas cosas aquí. Sin embargo, muchas cosas son iguales.

El ModSecurity es una especie de cortafuegos, como Thomas ya señaló. Y dijiste que no puedes cambiar la configuración. Bueno, puede pedirle al proveedor que le dé la configuración exacta. Con esa información puede decidir si este conjunto de reglas es adecuado para usted o no. Si no, apágalo.

Desde el archivo de registro, parece que hay muchas detecciones de falsos positivos (no estoy seguro de la carga de su sitio). O estos son todos los ataques o el conjunto de reglas está totalmente equivocado y está bloqueando muchas solicitudes legítimas.

Intente obtener la configuración exacta e intente comprender el significado exacto de cada línea de configuración. Si detecta algún error, hable con el proveedor. Probablemente también quieran arreglar configuraciones incorrectas para sus otros clientes.

En realidad, este tipo de pregunta no está muy relacionada con la seguridad, creo que sería mejor para serverfault o algo así, pero veo que ya publicaste la misma pregunta allí y se cerró (en espera) como "fuera de tema", porque dicen que si no puedes reconfigurarlo, no está relacionado con la administración. (No estoy totalmente de acuerdo con eso, pero de todos modos).