OWASP Core Rule Set 中 libinjection 误报问题分析

背景介绍

OWASP Core Rule Set (CRS) 作为一款开源的 Web 应用防火墙规则集，被广泛应用于各类 WAF 产品中。其中 941100 规则使用 libinjection 库来检测 XSS 攻击，但在实际使用中出现了误报情况。

问题现象

在 FrankenPHP (基于 Caddy) 环境中，当用户提交包含特定 HTML 标签的内容时，CRS 错误地触发了 XSS 攻击警报。具体表现为当提交包含类似 <a href="https://github.com/Simbiat/database">Database</a> 这样的无害 HTML 链接时，系统错误地将其标记为 XSS 攻击。

技术分析

经过深入调查，发现这个问题源于 libinjection 的 Golang 实现版本(libinjection-go)与原始 C 语言版本的行为差异：

1. 测试用例对比：

   • 原始字符串 =<a href="data"> 在两个版本中都能正确检测
   • 但当 URL 包含协议前缀时(如 https://)，C 版本不再触发警报，而 Go 版本仍然会误报

2. 根本原因：

   • Go 版本的实现对于 URL 协议前缀的处理逻辑存在缺陷
   • 该问题影响了所有使用 libinjection-go 的 Coraza 相关组件

3. 影响范围：

   • 使用默认 libinjection-go 实现的所有 Coraza 连接器
   • 包括但不限于 Coraza-Caddy 等集成方案

解决方案建议

对于遇到此问题的用户，可以采取以下临时解决方案：

1. 调整规则灵敏度：

   • 在 CRS 配置中临时禁用 941100 规则
   • 或提高该规则的阈值设置

2. 使用替代实现：

   • 考虑使用 Coraza 的 wasilibs 版本，它使用原始 C 语言实现的 libinjection

3. 等待官方修复：

   • 关注 libinjection-go 项目的更新
   • 官方修复后将提供更稳定的检测能力

总结

Web 应用防火墙的精确性对于平衡安全性和可用性至关重要。这次误报事件提醒我们，即使是成熟的检测引擎，在不同语言实现时也可能出现行为差异。开发者和运维人员应当：

1. 定期更新安全规则和组件
2. 对安全警报保持审慎态度
3. 建立完善的误报处理机制
4. 在关键环境中进行充分的测试验证

随着开源社区的持续改进，这类技术实现差异问题将得到更好的解决，为 Web 应用提供更精准的安全防护。