CoreRuleSet项目中Windows命令注入检测规则932370的误报问题分析

背景介绍

在Web应用防火墙规则集CoreRuleSet中，规则932370负责检测Windows命令注入攻击。该规则通过正则表达式匹配潜在的恶意命令模式，但在实际应用中出现了一些误报情况，特别是当文本中出现"At"一词时容易触发误报。

问题现象

该规则在以下场景会产生误报：

1. 当文本中出现"At"一词且位于换行符之后时
2. 在普通文本内容中自然使用"at"作为介词时
3. 在社交媒体类应用中用户正常发言包含"at"的情况

例如以下文本会触发误报：

Go to store.
At the store, shop.

或者社交媒体发言：

@kat@yarn.girlonthemoon.xyz Btw, as a new pod operator, please do let me know how I can improve `yarnd` at all 🙏

技术分析

规则932370的正则表达式设计初衷是检测Windows命令注入攻击，特别是针对at命令的使用。at是Windows系统中用于计划任务执行的命令行工具，攻击者常利用它来执行恶意代码。

然而，当前实现存在以下问题：

1. 匹配逻辑过于宽泛，没有充分考虑自然语言中"at"作为介词的常见用法
2. 对上下文环境判断不足，特别是换行符后的"At"被错误识别为命令
3. 在PL1(基础防护级别)就启用此规则，导致影响面较大

解决方案探讨

针对此问题，技术团队提出了几种解决方案：

1. 规则优化：调整正则表达式模式，增加对自然语言使用的排除条件，例如：

   • 排除"at"作为介词的情况
   • 增加对命令语境的判断
   • 考虑大小写敏感性

2. 规则级别调整：将该规则移至更高防护级别(如PL2或PL3)，减少对基础防护的影响

3. 临时解决方案：用户可以采取以下措施：

   • 在配置文件中添加SecRuleRemoveById 932370禁用该规则
   • 针对特定应用路径设置规则排除

最佳实践建议

对于使用CoreRuleSet的用户，建议：

1. 在应用上线前进行全面测试，识别可能的误报情况
2. 根据应用特点定制规则集，非必要情况下不使用过高防护级别
3. 保持规则集更新，及时获取官方修复
4. 对于特定场景的误报，优先考虑精确的规则排除而非完全禁用

总结

Web应用防火墙规则的精确性对业务正常运行至关重要。CoreRuleSet项目组正在持续优化规则逻辑，平衡安全防护和误报率。用户应理解规则工作原理，合理配置并根据实际情况调整，在保障安全的同时确保业务连续性。