2 votes

Emily avatar

Mots de passe dans les fichiers journaux de modsec

Demandé el 23 de Avril, 2015
Quand la question a-t-elle été
1770 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Existe-t-il des pratiques exemplaires ou des approches que je peux adopter pour empêcher que certaines données (par exemple, les mots de passe) soient enregistrées dans les fichiers journaux de mod-security ?

Nous avons un appel entrant dans notre serveur Apache (et dans le backend Karaf) qui semble occasionnellement déclencher une règle de sécurité mod. Cet appel inclut un mot de passe comme l'un des paramètres de l'URL.

Comment puis-je faire en sorte que mod-security signale la règle mais supprime certaines informations du journal ? Je veux évidemment savoir que la règle a été déclenchée, mais je crains de laisser des données sensibles dans le journal.

Voici un exemple (la partie douteuse se trouve sur la deuxième ligne):-.

--0a6bf76f-C--
userName=fred.bloggs%40whatever.com&password=SHOULDNTBEHERE&%3Asubmit=1
--0a6bf76f-F--
HTTP/1.1 200 OK
Ajax-Location: ./home
Content-Type: text/xml;charset=ISO-8859-1
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Pragma: no-cache
Cache-Control: no-cache, no-store
Set-Cookie: rememberMe=deleteMe; Path=/; Max-Age=0; Expires=Sat, 18-Apr-2015 08:06:08 GMT
Strict-Transport-Security: max-age=15768000
Vary: Accept-Encoding
Content-Encoding: gzip
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked

--0a6bf76f-E--
<ajax-response><redirect><![CDATA[./home]]></redirect></ajax-response>
--0a6bf76f-H--
Message: Warning. Pattern match "(.*?)=(?i)(?!.*secure.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "99"] [id "981185"] [msg "AppDefect: Missing Secure Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-secure-flag"]
Message: Warning. Pattern match "(.*?)=(?i)(?!.*httponly.*)(.*$)" at RESPONSE_HEADERS:Set-Cookie. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "83"] [id "981184"] [msg "AppDefect: Missing HttpOnly Cookie Flag for rememberMe."] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#cookie-not-setting-httponly-flag"]
Apache-Handler: proxy-server
Stopwatch: 1429430768382701 63597 (- - -)
Stopwatch2: 1429430768382701 63597; combined=13093, p1=317, p2=11903, p3=242, p4=130, p5=395, sr=110, sw=106, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.6.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.5.
Server: Apache
WebApp-Info: "default" "-" ""

--0a6bf76f-Z--

C'est Apache 2.2 qui fonctionne sur Ubuntu 12.04.

Merci.

Demandé el 23 de Avril, 2015 par Emily

Réponses

Trop de publicités?

2voto

Barry Pollard avatar
Barry Pollard Points 4411

Vous devriez mettre en place une règle de désinfection :

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#sanitiseArg

5kKate le mot de passe est dans la section C qui est le corps de la requête. C'est là que les mots de passe devraient être pour les requêtes POST. Je suis d'accord pour dire que vous ne devriez pas les utiliser dans les URLS via des requêtes GET (dans ce cas, ils devraient être dans la section B du journal d'audit).

Répondu el 28 de Avril, 2015 par Barry Pollard (4411 Points )

0voto

John avatar
John Points 577

Vous pouvez configurer mod_security pour désactiver l'enregistrement de l'URL de la demande. C'est la lettre B que j'ai retirée de la configuration ci-dessous.

SecAuditLogParts ACIFHZ

Vous pouvez lire la suite ici : http://resources.infosecinstitute.com/analyzing-mod-security-logs/

Le problème majeur est que vous envoyez des mots de passe en clair dans l'URL. Je ne connais pas très bien Karaf, mais je serais surpris qu'ils n'aient pas une méthode d'authentification plus sûre.

Répondu el 28 de Avril, 2015 par John (577 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X