Vielen Dank für deinen informativen Input!
Ich hätte mehrere Versuche unternommen, aber leider klappt es einfach nicht. Es gibt zwei ID's die immer wieder auftauchen, sobald ich meinen Pagebuilder versuche zu nutzen:
ModSecurity: Access denied with code 302 (phase 2). Matched "Operator `Ge' with parameter `5' against variable `TX:ANOMALY_SCORE' (Value: `5' ) [file "/etc/modsecurity.d/owasp-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "80"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [data ""] [severity "2"] [ver "OWASP_CRS/3.3.2"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic"] [hostname "WEBLINK"] [uri "/wp-admin/admin-ajax.php"] [unique_id "1638470531"] [ref ""]
ModSecurity: Warning. Matched "Operator `Rx' with parameter `\xbc[^\xbe>]*[\xbe>]|<[^\xbe]*\xbe' against variable `ARGS:params[content]' (Value: `TEXT</strong> u (1532 characters omitted)' ) [file "/etc/modsecurity.d/owasp-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "527"] [id "941310"] [rev ""] [msg "US-ASCII Malformed Encoding XSS Filter - Attack Detected"] [data "Matched Data: \xbcdTEXTn ARGS:params[content]: TEXT (1355 characters omitted)"] [severity "2"] [ver "OWASP_CRS/3.3.2"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-tomcat"] [tag "attack-xss"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/242"] [hostname "WEBLINK"] [uri "/wp-admin/admin-ajax.php"] [unique_id "1638470531"] [ref "o33,47v2926,1458t:urlDecodeUni,t:lowercase,t:urlDecode,t:htmlEntityDecode,t:jsDecode"]
---IpYsrMLa---H--
content-type: text/html
location: /RUNCLOUD-MODSEC-WAF-BLOCKED
Dazu habe ich deinen Rat befolgt und das bestehende File (das vorher REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example hieß) mit folgenden Lines ergänzt:
Filename: REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
SecRule REQUEST_URI "@endsWith /wp-admin/admin-ajax.php" "id:941310,phase:2,pass,nolog,t:none, \
ctl:ruleRemoveByTag=OWASP_CRS/WEB_ATTACK/XSS"
SecRule REQUEST_URI "@endsWith /wp-admin/admin-ajax.php" "id:949110,phase:2,pass,nolog,t:none, \
ctl:ruleRemoveByTag=OWASP_CRS/WEB_ATTACK/XSS"
Ich habe dazu das @endsWith Tag hergenommen, da die Regel letztendlich für jede Webapp, die von mir angelegt wurde, greifen sollte.
Auch die Idee mit generell POST find ich klasse!
Hat aber bedauerlicherweise hat die Regel auch nicht gegriffen.
SecRule REQUEST_URI "@beginsWith /home/runcloud/webapps/APNAME/" "id:941310,phase:2,allow,nolog,t:none,chain"
SecRule REQUEST_URI "!@beginsWith /home/runcloud/webapps/APNAME/wp-comments-post.php" "chain"
SeCRule REQUEST_METHOD "POST" "ctl:ruleEngine=off"
SecRule REQUEST_URI "@beginsWith /APNAME/" "id:949110,phase:2,allow,nolog,t:none,chain"
SecRule REQUEST_URI "!@beginsWith /APNAME/wp-comments-post.php" "chain"
SeCRule REQUEST_METHOD "POST" "ctl:ruleEngine=off"
Kann das sein, dass ich die geänderte conf.example -> .conf, irgendwo in einer anderen .conf Datei einbinden muss?