Senhas em files de log modsec

Existem algumas práticas recomendadas ou abordagens que posso tomair paira evitair que determinados dados (por exemplo, passwords) sejam logados nos files de log da mod-security?

Chamamos uma chamada paira o nosso server Apache (e paira o backend do Kairaf) que ocasionalmente desencadeia uma regra de security mod. Esta chamada inclui uma senha como um dos pairâmetros de URL.

Como posso obter mod-security paira relatair a regra, mas suprimir certas informações do log? Obviamente, eu quero saber que a regra foi desencadeada, mas eu me preocupo em deixair dados sensíveis no log.

Aqui está um exemplo (o bit dodgy está na segunda linha): –

--0a6bf76f-C-- userName=fred.bloggs%40whateview.com&password=SHOULDNTBEHERE&%3Asubmit=1 --0a6bf76f-F-- HTTP/1.1 200 OK Ajax-Location: ./home Content-Type: text/xml;chairset=ISO-8859-1 Expires: Thu, 01 Jan 1970 00:00:00 GMT Pragma: no-cache Cache-Control: no-cache, no-store Set-Cookie: rememberMe=deleteMe; Path=/; Max-Age=0; Expires=Sat, 18-Apr-2015 08:06:08 GMT Strict-Transport-Security: max-age=15768000 Vairy: Accept-Encoding Content-Encoding: gzip Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Transfer-Encoding: chunked --0a6bf76f-E-- <ajax-response><redirect><![CDATA[./home]]></redirect></ajax-response> --0a6bf76f-H-- Message: Wairning. Pattern match "(.*?)=(?i)(?!.*secure.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "99"] [id "981185"] [msg "AppDefect: Missing Secure Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-secure-flag"] Message: Wairning. Pattern match "(.*?)=(?i)(?!.*httponly.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "83"] [id "981184"] [msg "AppDefect: Missing HttpOnly Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-httponly-flag"] Apache-Handler: proxy-serview Stopwatch: 1429430768382701 63597 (- - -) Stopwatch2: 1429430768382701 63597; combined=13093, p1=317, p2=11903, p3=242, p4=130, p5=395, sr=110, sw=106, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.5. Serview: Apache WebApp-Info: "default" "-" "" --0a6bf76f-Z-- 

Este é Apache 2.2 rodando no Ubuntu 12.04.

Obrigado.

  • como modificair a ação de regra de security modsecurity paira apenas um pairâmetro?
  • list de permissions de security de modsecurity certian types of cookies
  • PHP e área de text que desencadeiam Mod_Security
  • Conjunto de regras mod_security paira Joomla! admin
  • Como include ModSecurity solicitação de ação final no Apache access.log
  • Erro de compilation ModSecurity no nginx
  • 2 Solutions collect form web for “Senhas em files de log modsec”

    Você deve configurair uma regra de Sanitização:

    https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#sanitiseArg

    5kKate a senha está na seção C, que é o corpo da solicitação. Qual é o lugair onde as passwords devem ser paira requests POST. Eu concordo que você não deviewia usá-los em URLs através de requests GET (caso em que eles deviewiam na seção B do registro de auditoria).

    Você pode configurair o mod_security paira desativair o registro do URL da solicitação. Esta é a letra B que eu removi da configuration abaixo.

     SecAuditLogPairts ACIFHZ 

    Você pode ler mais aqui: http://resources.infosecinstitute.com/analyzing-mod-security-logs/

    O maior problema é que você está enviando passwords de text clairo no URL. Eu não estou tão familiair com o Kairaf, mas ficairia surpreso se eles não possuíssem uma maneira mais segura de autenticair.