Automatyczne skanery bezpieczeństwa skanują na ślepo,
odpalają bazę sygnatur i wykonują skanowanie.
Tego typu operacja z oczywistych względów wywoła całą masę 404 w logach apache2.
Więc dlaczego nie wykorzystać tego typu zależności?
SecRule RESPONSE_STATUS „@streq 404” \
„phase:5,t:none,nolog,pass,setvar:ip.not_found_counter=+1,expirevar:ip.not_found_counter=60”
SecRule IP:NOT_FOUND_COUNTER „@gt 5” „phase:1,t:none,log,block,msg:’Zbyt wiele 404′,id:’100003′,setvar:’tx.msg=%{rule.msg}’,setvar:tx.anomaly_score=+%{tx.error_anomaly_score}”
.
SecRule RESPONSE_STATUS „@streq 404” \
„phase:5,t:none,nolog,pass,setvar:ip.not_found_counter=+1,expirevar:ip.not_found_counter=60”
SecRule IP:NOT_FOUND_COUNTER „@gt 5” „phase:1,t:none,log,block,msg:’Zbyt wiele 404′,id:’100003′,setvar:’tx.msg=%{rule.msg}’,setvar:tx.anomaly_score=+%{tx.error_anomaly_score}”
powodzenia 😉
inspiracja – sow 😛