[ModSecurity (4/4)] Supprimer les faux postifs de ModSecurity | OWASP CRS White List

Maintenant que notre ModSecurity est fonctionnel vous allez surement constater que celui-ci déclenche énormément de faux positifs… et réduit l’expérience utilisateur de votre site.

Pour les éviter il faux créer un fichier dans le dossier « activated_rules » et créer un fichier qui sera le dernier a être chargé. Par exemple si on a un fichier « a.conf » et « b.conf » il faut créer un fichier « c.conf » afin qu’il soit chargé en dernier!

Sinon les directives qu’on ajoutera dedans seront écrasées par les directives des réglés de l’OWASP.

 

Pour supprimer les faux positifs il faut faire analyse approfondie de la log dégagée par ModSecurity.

On repère quand une action légitime a été bloquée par ModSecurity:

On reperd ensuite l’ID de la règle déclenchée et le paramètre de l’application qui a fait déclencher la règle « Data Match » (qui n’apparait pas sur la photo).

 

ATTENTION: Il ne faut jamais supprimer une règle suite à un faux-positif (SecRuleRemoveById), cela réduirait considérablement le niveau de sécurité apporté par ModSecurity!

Pour remédier à ces faux positifs nous allons créer ce qu’on appel une WhiteList, on ne désactivera pas les règles, on autorisera juste certaines données à passer.

On utilise la directive:

SecuRuleUpdataTargetById XXXXXX ARGS:LeParametreConcernéParLeFauxPostif

 

On peut aussi utiliser une Expression régulière si le paramètre est générique:

SecuRuleUpdataTargetById XXXXXX "ARGS:/^.LeParametreConcernéParLeFauxPostif/gm"

 

Attention ici on corrige un faux positif relevé dans une variable « ARGS » (argument), on peut trouver des faux positif dans d’autres variables « ARGS_NAMES », « REQUEST_COOKIES », « REQUEST_HEADERS »…

Pour connaître la varible concerné, regardez bien votre log, ou allez voir le Reference-Manual de l’OWASP.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *