¿Cómo puedo evitar que modsecurity registre datos binarios?

0

En mi registro de auditoría de modsecurity hay un archivo binario registrado como texto:

¿Cómo puedo evitar que modsecurity hinche mis archivos de registro con el contenido de archivos binarios como ese?

    
pregunta markgraeflerland 05.09.2017 - 07:50
fuente

1 respuesta

0

Puede usar @validateByteRange para buscar aquellos caracteres que pueden causar problemas para eliminar la parte C del cuerpo de la solicitud del registro de auditoría, pero haga eso después de hacer su filtrado básico (OWASP CRS + filtrado positivo) para asegurarse de que está No dejar caer registros importantes.

SecRule REQUEST_BODY | ARGS "@validateByteRange 9,10,13,32-126,128-255" \     "id: 666, \     fase 2,\     pasar,\     t: none, t: urlDecodeUni, \     msg: 'Carácter inválido en la solicitud (caracteres no imprimibles) descargando el cuerpo de la solicitud', \     severidad: 'INFO', \     setvar: 'tx.msg =% {rule.msg}', \     ctl: auditLogParts = -C "

    
respondido por el Manuel Spartan 15.08.2018 - 18:09
fuente

Lea otras preguntas en las etiquetas