OWASP CRS规则误报问题分析与解决方案

问题背景

在使用OWASP CRS（核心规则集）4.0版本保护WordPress WooCommerce网站时，发现了一个误报问题。当用户尝试在商品页面点击"加入购物车"按钮时，操作被ModSecurity拦截，导致功能无法正常使用。

技术分析

从日志中可以清楚地看到，ModSecurity拦截了POST请求，触发了两条规则：

1. 规则ID 932236 - 远程命令执行检测（Unix命令注入）
2. 规则ID 949110 - 入站异常分数超过阈值

深入分析发现，规则932236误将"wc-ajax"参数名识别为潜在的命令注入攻击。这是因为规则会检测参数名中是否包含常见的Unix命令（如wc、ls等），而WooCommerce恰好使用了"wc-ajax"这个参数名来实现AJAX功能。

解决方案

正确的解决方案是创建一条排除规则，但需要注意以下几点：

1. 使用REQUEST_FILENAME而非REQUEST_URI变量进行匹配，因为后者包含查询字符串
2. 仅排除特定参数名的检测，而不是完全禁用规则
3. 永远不要排除949xxx系列的规则，这些是关键的阻断规则

推荐的排除规则配置如下：

SecRule REQUEST_FILENAME "@streq /" \
    "id:1044,\
    phase:1,\
    pass,\
    t:none,\
    nolog,\
    ctl:ruleRemoveTargetById=932236;ARGS_NAMES:wc-ajax"

技术要点

1. REQUEST_FILENAME与REQUEST_URI的区别：

   • REQUEST_FILENAME表示请求的文件路径
   • REQUEST_URI包含完整的URI，包括查询字符串

2. 规则排除的最佳实践：

   • 尽量缩小排除范围，只排除必要的部分
   • 使用ruleRemoveTargetById而非ruleRemoveById，可以精确控制排除目标
   • 避免排除阻断规则(949xxx)，这会降低安全性

3. WooCommerce与安全规则的兼容性：

   • WooCommerce使用"wc-"前缀的AJAX参数是标准做法
   • 这类参数名容易触发命令注入检测，需要适当排除

总结

在部署WAF规则时，误报是常见问题。通过分析日志、理解规则原理和正确配置排除项，可以在保持安全性的同时确保业务功能正常。对于电子商务网站，特别要注意购物车、结账等关键功能的兼容性测试。