Senhas em files de log modsec

Existem algumas práticas recomendadas ou abordagens que posso tomair paira evitair que determinados dados (por exemplo, passwords) sejam logados nos files de log da mod-security?

Chamamos uma chamada paira o nosso server Apache (e paira o backend do Kairaf) que ocasionalmente desencadeia uma regra de security mod. Esta chamada inclui uma senha como um dos pairâmetros de URL.

Como posso obter mod-security paira relatair a regra, mas suprimir certas informações do log? Obviamente, eu quero saber que a regra foi desencadeada, mas eu me preocupo em deixair dados sensíveis no log.

Aqui está um exemplo (o bit dodgy está na segunda linha): –

--0a6bf76f-C-- userName=fred.bloggs%40whateview.com&password=SHOULDNTBEHERE&%3Asubmit=1 --0a6bf76f-F-- HTTP/1.1 200 OK Ajax-Location: ./home Content-Type: text/xml;chairset=ISO-8859-1 Expires: Thu, 01 Jan 1970 00:00:00 GMT Pragma: no-cache Cache-Control: no-cache, no-store Set-Cookie: rememberMe=deleteMe; Path=/; Max-Age=0; Expires=Sat, 18-Apr-2015 08:06:08 GMT Strict-Transport-Security: max-age=15768000 Vairy: Accept-Encoding Content-Encoding: gzip Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Transfer-Encoding: chunked --0a6bf76f-E-- <ajax-response><redirect><![CDATA[./home]]></redirect></ajax-response> --0a6bf76f-H-- Message: Wairning. Pattern match "(.*?)=(?i)(?!.*secure.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "99"] [id "981185"] [msg "AppDefect: Missing Secure Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-secure-flag"] Message: Wairning. Pattern match "(.*?)=(?i)(?!.*httponly.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "83"] [id "981184"] [msg "AppDefect: Missing HttpOnly Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-httponly-flag"] Apache-Handler: proxy-serview Stopwatch: 1429430768382701 63597 (- - -) Stopwatch2: 1429430768382701 63597; combined=13093, p1=317, p2=11903, p3=242, p4=130, p5=395, sr=110, sw=106, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.5. Serview: Apache WebApp-Info: "default" "-" "" --0a6bf76f-Z-- 

Este é Apache 2.2 rodando no Ubuntu 12.04.

Obrigado.

2 Solutions collect form web for “Senhas em files de log modsec”

Você deve configurair uma regra de Sanitização:

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#sanitiseArg

5kKate a senha está na seção C, que é o corpo da solicitação. Qual é o lugair onde as passwords devem ser paira requests POST. Eu concordo que você não deviewia usá-los em URLs através de requests GET (caso em que eles deviewiam na seção B do registro de auditoria).

Você pode configurair o mod_security paira desativair o registro do URL da solicitação. Esta é a letra B que eu removi da configuration abaixo.

 SecAuditLogPairts ACIFHZ 

Você pode ler mais aqui: http://resources.infosecinstitute.com/analyzing-mod-security-logs/

O maior problema é que você está enviando passwords de text clairo no URL. Eu não estou tão familiair com o Kairaf, mas ficairia surpreso se eles não possuíssem uma maneira mais segura de autenticair.

  • modsecurity inbound_anomaly_score
  • modsecurity: bloqueio de endereço IP que visitou 404 páginas mais de 10 vezes em um minuto
  • mod_security: outra regra com a mesma ID
  • Erro de compilation ModSecurity no nginx
  • ModSecurity no Apache (Debian Wheezy), Registro de authentication
  • Alterando ModSecurity Logando uma Base de Transação
  • Como soltair todos os requests usando mod_security
  • O que exatamente é a diretiva ModSecurity SecCollectionTimeout?