OWASP CRS规则920100因PCRE限制导致误报问题分析

问题背景

在使用OWASP核心规则集(CRS)进行Web应用防护时，规则920100（"Invalid HTTP Request Line"）在某些情况下会出现误报。具体表现为当处理较长的URL请求时，系统会触发PCRE(Perl Compatible Regular Expressions)限制错误，导致该规则错误地拦截了实际上有效的HTTP请求。

问题现象

当客户端发送一个包含较长查询字符串的URL请求时，例如访问/robots.txt?q=aaa...（包含大量连续字符），系统会同时记录两条日志：

1. 规则920100被触发，标记为"Invalid HTTP Request Line"
2. 规则200005被触发，显示"ModSecurity internal error flagged: TX:MSC_PCRE_LIMITS_EXCEEDED"

技术分析

PCRE限制机制

ModSecurity使用PCRE库进行正则表达式匹配，默认配置中设置了两个重要参数：

• SecPcreMatchLimit：控制匹配操作的最大次数
• SecPcreMatchLimitRecursion：控制递归深度限制

在默认配置下，这些值设置得较为保守（通常为1000），当处理复杂正则表达式或较长字符串时容易达到限制。

规则920100的正则表达式

规则920100使用了一个复杂的正则表达式来验证HTTP请求行的有效性。这个表达式需要匹配多种HTTP方法(GET、POST等)和URL格式，当处理超长URL时，匹配过程会消耗大量资源，容易触发PCRE限制。

误报产生原因

关键问题在于ModSecurity对正则匹配失败的处理逻辑：

1. 当PCRE限制被触发时，正则匹配实际上未能完成
2. 但规则使用的是否定匹配(!@rx)，ModSecurity将匹配失败解释为"不匹配"
3. 这导致系统错误地认为请求行无效，触发了规则920100

解决方案

短期解决方案

提高PCRE限制参数的值：

SecPcreMatchLimit 100000
SecPcreMatchLimitRecursion 100000

根据实际生产经验，10万到50万的值范围在大多数场景下都是安全且有效的。

长期建议

1. 规则优化：考虑简化920100规则的正则表达式，降低其匹配复杂度
2. 错误处理改进：建议ModSecurity项目改进对正则匹配失败情况的处理逻辑，特别是在使用否定匹配时
3. 默认配置调整：建议提高ModSecurity推荐配置中的PCRE默认限制值

最佳实践

1. 在生产环境中部署前，应根据实际流量特点测试并调整PCRE限制参数
2. 对于特别长的URL请求，应考虑在应用层进行长度限制
3. 定期检查ModSecurity日志，关注PCRE限制相关警告，及时调整配置
4. 保持CRS和ModSecurity版本更新，以获取最新的性能优化

总结

这个问题揭示了Web应用防火墙配置中的一个重要平衡点：安全检测的准确性与系统性能之间的权衡。通过合理调整PCRE参数，可以在不影响安全性的前提下，有效减少因技术限制导致的误报情况。同时，这也提醒我们在设计安全规则时，需要考虑规则本身对系统资源的消耗情况。