В моей форме есть поле ввода, где пользователи могут вводить URL-адреса. Я знаю, как обновить целевое правило, чтобы предотвратить ложные срабатывания:
SecRuleRemoveById 950120 !ARGS:urlField
Но это не относится к правилу 950120
: Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link
. Ошибка не указывает, какой аргумент нарушает правило. Он просто дает сообщение:
Message: Access denied with code 403 (phase 2).
Match of "beginsWith %{request_headers.host}" against "TX:1" required.
[file "/etc/httpd/crs-tecmint/owasp-modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf"]
[line "163"] [id "950120"] [rev "3"]
[msg "Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link"]
[data "Matched Data: http://asite.com.hk/live found within TX:1: asite.com.hk/live"]
[severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"]
[maturity "9"] [accuracy "9"]
[tag "OWASP_CRS/WEB_ATTACK/RFI"]
Action: Intercepted (phase 2)
Без аргумента нарушения в сообщении означает ли это, что SecRuleRemoveById
не будет работать с этим правилом? Как я могу обновить его, не удаляя полностью это правило?