LINUX.ORG.RU

Если это касается Core Rule Set Project и подобных сборок правил для modsecurity, то tx.score показывает насколько 'плох' запрос. Попытка взлома, бот и .т.д. Там ещё есть параметр порога прохождения таких 'плохих' запросов.

upd: в Core Rule Set оно называется tx.anomaly_score

какая сборка правил?

fjoe
()
Последнее исправление: fjoe (всего исправлений: 1)
Ответ на: комментарий от fjoe

Не совсем понял что за «сборка правил», но вот статья в которой описывается метод использования: http://blog.modsecurity.org/2006/07/modsecurity-2-v.html

# A series of rules to evaluate transaction
SecRule ARGS KEYWORD1 pass,setvar:tx.score=+5
SecRule ARGS KEYWORD2 pass,setvar:tx.score=+5
SecRule ARGS KEYWORD3 pass,setvar:tx.score=+5
SecRule ARGS KEYWORD4 pass,setvar:tx.score=+5

Как я понял, устанавливается переменная с именем score (типа массива), и при достижении счетчиком 15 (те любые три правила из четырех) срабатывает правило

# Decide what to do with transaction
SecRule TX:SCORE "@gt 15" deny
drunkmad
() автор топика
Ответ на: комментарий от drunkmad

Не совсем понял что за «сборка правил»,

http://spiderlabs.github.io/owasp-modsecurity-crs/ - от создателей модуля.
Есть ещё http://www.atomicorp.com/channels/rules/subscription , но оно платное (вроде была где-то бесплатная версия, неактуальная).
Без чего-то подобного modsecurity практически бесполезен.

http://blog.modsecurity.org/2006/07/modsecurity-2-v.html
2006

Не самая свежая документация.

Как я понял, устанавливается переменная с именем score (типа массива), и при достижении счетчиком 15 (те любые три правила из четырех) срабатывает правило

Да, CRS работает примерно так.

fjoe
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security