Trabajar en una regla para bloquear el tráfico en función del carácter inicial de ARGS_NAMES, ya sea cookie, obtener o publicar
Permiso de ejemplo
name=Joe
Bloque de ejemplo
#name=Joe
Regla de prueba que no funciona
SecRule ARGS_NAMES "^(#.*)$" "phase:1,id:199,log,deny,msg:'Block Argname with hash'"
Estas reglas parecen funcionar en 2.8
SecRule ARGS_GET_NAMES "^(#.*)$" "id:193,log,deny,msg:'Block ARGS Name with hash GET'"
SecRule ARGS_POST_NAMES "^(#.*)$" "id:192,log,deny,msg:'Block ARGS Name with hash POST',logdata:'%{tx.httpbl_msg}',setvar:tx.httpbl_msg=$"
SecRule REQUEST_COOKIES_NAMES "^(#.*)$" "id:194,log,deny,msg:'Block ARGS Name with hash COOKIE'"
Pero mejor solución enlace
SecRule ARGS_NAMES|REQUEST_COOKIES_NAMES "@beginswith #" "id:123,phase:2,block,msg:'SA-CORE-2018-002'"
Las reglas de ModSecurity en la fase 1 funcionarán solo con argumentos GET, ya que los argumentos POST no estarán disponibles hasta la fase 2, las cookies estarán disponibles desde la fase 1.
ADVERTENCIA GRANDE: las reglas de la fase 1 dentro de los bloques de ubicación en Apache se descartan de forma silenciosa ya que las ubicaciones no están disponibles hasta la fase 2, por lo que cualquier fase de la fase 1 se ignora, para evitar errores / problemas puede ser mejor atenerse a la fase 2.
Lea otras preguntas en las etiquetas waf mod-security