Что на самом деле означает ARGS, ARGS_NAMES в mod_security crs?

Question

Что на самом деле означает ARGS, ARGS_NAMES в наборах правил ядра mod_security?

Я уже упоминал Modsecurity2 Apache Reference, но у меня не было четкой идеи.

Может кто-нибудь дать мне конкретную идею, желательно с объяснением, что это на самом деле и как что-то фактически вызывает правило, как показано ниже.

Правило, приведенное ниже, является положительным для случаев, таких как «x и 6» и т. Д., В общем случае любое «и», за которым следует цифра. В этом случае я понимаю, что такое имя файла запроса. что я не понимаю, это ARGS и ARGS_NAMES. Мне нужен конкретный пример со ссылкой на приведенное ниже правило.

SecRule REQUEST_FILENAME|ARGS_NAMES|ARGS|XML:/* "(?i)\b(?i:and)\b\s+(\d{1,10}|'[^=]{1,10}')\s*[=]|\b(?i:and)\b\s+(\d{1,10}|'[^=]{1,10}')\s*[<>]|\band\b ?(?:\d{1,10}|[\'\"][^=]{1,10}[\'\"]) ?[=<>]+|\b(?i:and)\b\s+(\d{1,10}|'[^=]{1,10}')" \ 
    "phase:2,rev:'2.2.5',capture,t:none,t:urlDecodeUni,ctl:auditLogParts=+E,block,msg:'SQL Injection Attack',id:'959072',tag:'WEB_ATTACK/SQL_INJECTION',tag:'WASCTC/WASC-19',tag:'OWASP_TOP_10/A1',tag:'OWASP_AppSensor/CIE1',tag:'PCI/6.5.2',logdata:'%{TX.0}',severity:'2',setvar:'tx.msg=%{rule.msg}',setvar:tx.sql_injection_score=+%{tx.critical_anomaly_score},setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.%{rule.id}-WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}" 

Answer 1

Пример:

http://server.invalid/test.php?pretty_arg=test123&ugly_arg=345test 

ARGS_NAMES = "pretty_arg","ugly_arg" 
ARGS = "pretty_arg:test123","ugly_arg:345test"  

Смотрите здесь:

• Reference-Manual Variables
• Reference-Manual args

Если вы хотите удалить аргумент из конкретного вызова , вы можете использовать

SecRule REQUEST_FILENAME "@streq /path/to/file.php" "phase:1,id:2001,t:none,nolog,pass,ctl:ruleRemoveTargetById=959072;ARGS:ugly_arg"