MULTIPART_UNMATCHED_BOUNDARY
在multipart/request-body分析阶段,该变量被设置为1。ModSecurity好像是在一个临界值但实际上又不是。在ModSecurity试图回避时这种事件可能发生。
使用这个变量的最好的方法是像下面的例子:
SecRule MULTIPART_UNMATCHED_BOUNDARY "!@eq 0" \
"phase:2,t:none,log,deny,msg:'Multipart parser detected a possible unmatched boundary.'"
在出现很多误报时可改变规则,把阻止改成只写日志。
PATH_INFO除了通过查询信息传递到脚本/处理程序,还可以通过更多的数据,像路径信息,作为
URL的一部分,例如:
SecRule PATH_INFO "^/(bin|etc|sbin|opt|usr)"