OWASP CRS规则误报问题分析与解决方案：Grafana API触发Windows PowerShell规则

背景介绍

OWASP核心规则集(CRS)作为一款开源的Web应用防火墙规则集，被广泛应用于保护Web应用程序免受各种攻击。在实际部署过程中，我们可能会遇到规则误报的情况，特别是在特定应用场景下。本文将以Grafana API触发Windows PowerShell规则为例，深入分析此类问题的成因及解决方案。

问题现象

在Kubernetes集群中使用Coraza-WASM作为Envoy插件部署OWASP CRS时，发现Grafana 10.1.5的API请求被错误拦截。具体表现为Grafana前端向自身API发起的/api/ds/query请求触发了CRS的932125规则（Windows PowerShell别名命令注入检测）。

技术分析

误报触发机制

CRS规则932125设计用于检测Windows PowerShell命令注入攻击，特别是针对md等命令别名的使用。该规则会匹配请求中包含|md.+等模式的内容。

在Grafana的磁盘I/O监控场景中，查询表达式包含类似(mmcblk.p.+|nvme.+|rbd.+|sd.+|vd.+|xvd.+|dm-.+|md.+|dasd.+)的正则表达式模式，其中md实际上指代Linux RAID设备，而非Windows命令。这种技术术语的重叠导致了规则误判。

影响范围

该问题主要影响：

1. 使用Grafana进行系统监控的场景
2. 查询中包含设备名称正则匹配的表达式
3. 在PL1及以上防护级别运行的CRS部署

解决方案

临时解决方案

对于需要快速解决问题的情况，可以直接针对特定API路径禁用相关规则：

SecRule REQUEST_URI "@beginsWith /api/ds/query" \
    "id:1040,phase:1,pass,nolog,ctl:ruleRemoveById=932125"

推荐解决方案

考虑到安全性和维护性，推荐以下两种方案：

1. 按平台标签禁用规则

   如果确定环境中不会使用Windows相关功能，可以通过标签批量禁用Windows平台相关规则：

   SecRuleRemoveByTag platform-windows
   

2. 精细化规则调整

   对于需要保留部分Windows防护的场景，可以结合应用特征进行更精细的调整：

   SecRule REQUEST_URI "@beginsWith /api/ds/query" \
       "id:1041,phase:1,pass,nolog,\
       ctl:ruleRemoveTargetById=932125;ARGS_POST:json.queries"
   

最佳实践建议

1. 了解应用特征：在部署CRS前，应充分了解受保护应用的技术栈和典型请求模式。

2. 利用标签系统：CRS提供了丰富的标签体系（如platform-windows、language-shell等），可用于精细化规则管理。

3. 分阶段部署：建议先在监控模式下运行，观察规则匹配情况后再逐步启用防护。

4. 日志分析：定期分析WAF日志，识别潜在的误报模式并相应调整规则。

总结

OWASP CRS作为强大的Web应用防护工具，其丰富的规则集在提供全面保护的同时，也可能在某些特定场景下产生误报。通过理解规则原理、合理利用标签系统和精细化调整，可以在保证安全性的同时减少误报，实现安全防护与业务功能的平衡。对于Grafana等特定应用，建议运维团队建立针对性的规则调整策略，确保安全防护不影响正常业务功能。