Coraza WAF中LFI规则链式匹配的优化实践

背景介绍

在Web应用防火墙(WAF)规则配置中，本地文件包含(LFI)攻击检测是一个重要功能。Coraza作为一款开源的WAF实现，支持ModSecurity语法规则。在实际部署中，我们经常需要对基础规则进行定制化调整，以避免误报和提高检测精度。

问题现象

开发者在配置LFI检测规则(930120)时，尝试通过链式规则(930121)来排除特定参数(exclude_parameter_1和exclude_parameter_2)。但发现该配置会导致930120规则被无条件绕过，无法达到预期效果。

技术分析

原始规则配置存在几个关键点需要注意：

1. 正则表达式语法问题：排除规则的@rx操作符中缺少闭合括号，这可能导致规则解析失败
2. 规则执行逻辑：使用ctl:ruleRemoveById会完全禁用目标规则，而不是仅跳过当前匹配
3. 变量匹配范围：原始规则检查了多个变量集合(REQUEST_COOKIES, ARGS等)，需要确保排除逻辑精确匹配

解决方案

经过测试验证，采用非正则表达式匹配可以解决此问题。优化后的规则配置：

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "@pmFromFile lfi-os-files.data" \
    "id:930120,\
    phase:2,\
    block,\
    capture,\
    t:none,t:utf8toUnicode,t:urlDecodeUni,t:normalizePathWin,\
    msg:'OS File Access Attempt',\
    logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}',\
    chain"
SecRule MATCHED_VAR_NAME "!(Authorization|x-access-token|x-access-token-body)" \
    "phase:2,\
    ctl:ruleRemoveById=930120,\
    pass"

最佳实践建议

1. 优先使用简单匹配操作符：当不需要复杂模式匹配时，使用@pm或直接字符串匹配比正则表达式更可靠
2. 精确控制规则作用域：确保排除规则只影响预期的变量和参数
3. 测试验证：修改关键安全规则后，应进行充分测试验证预期效果
4. 日志记录：保留足够的日志信息以便问题排查

总结

在Coraza WAF中定制安全规则时，理解规则链的执行逻辑和操作符特性非常重要。通过本例我们可以看到，有时简单的解决方案反而更可靠。对于关键安全规则的修改，建议采用渐进式调整并配合充分的测试验证。