En mi registro de auditoría de modsecurity hay un archivo binario registrado como texto:
¿Cómo puedo evitar que modsecurity hinche mis archivos de registro con el contenido de archivos binarios como ese?
En mi registro de auditoría de modsecurity hay un archivo binario registrado como texto:
¿Cómo puedo evitar que modsecurity hinche mis archivos de registro con el contenido de archivos binarios como ese?
Puede usar @validateByteRange para buscar aquellos caracteres que pueden causar problemas para eliminar la parte C del cuerpo de la solicitud del registro de auditoría, pero haga eso después de hacer su filtrado básico (OWASP CRS + filtrado positivo) para asegurarse de que está No dejar caer registros importantes.
SecRule REQUEST_BODY | ARGS "@validateByteRange 9,10,13,32-126,128-255" \ "id: 666, \ fase 2,\ pasar,\ t: none, t: urlDecodeUni, \ msg: 'Carácter inválido en la solicitud (caracteres no imprimibles) descargando el cuerpo de la solicitud', \ severidad: 'INFO', \ setvar: 'tx.msg =% {rule.msg}', \ ctl: auditLogParts = -C "
Lea otras preguntas en las etiquetas apache logging mod-security