OWASP CRS自定义规则编写实战：从业务逻辑防护到精准WAF配置

1. 项目概述：为什么我们需要自定义CRS规则？

如果你负责过Web应用的安全防护，大概率听说过或者正在使用ModSecurity配合OWASP Core Rule Set（CRS）。CRS是一套开源的、由社区维护的通用Web攻击检测规则集，它能有效拦截SQL注入、跨站脚本（XSS）、路径遍历等常见攻击。但很多安全工程师在实际部署后会发现一个尴尬的局面：规则集太“通用”了，导致误报频发，或者，更糟糕的是，它对你自家应用特有的业务逻辑漏洞或新型攻击手法完全“视而不见”。你可能会频繁地在日志里看到大量由正常业务请求触发的告警，处理这些噪音消耗了大量精力；同时，一些针对你应用API接口的、精心构造的恶意请求却可能悄无声息地溜了过去。

这就是“OWASP CRS规则编写教程：从零开始创建自定义安全规则”这个主题的核心价值所在。它要解决的，正是从“被动使用通用规则”到“主动构建精准防线”的跨越。CRS本身是一个强大的引擎和基础框架，但它默认的规则是面向所有Web应用的“最大公约数”。要让它真正为你所用，发挥最大效能，就必须学会根据自身应用的业务逻辑、数据流和潜在威胁模型，编写量身定制的安全规则。这不仅仅是添加几条简单的字符串匹配，而是涉及到对HTTP请求/响应生命周期的深入理解、对ModSecurity规则语言的熟练掌握，以及对安全逻辑的精准设计。掌握这项技能，意味着你能将WAF（Web应用防火墙）从一个“黑盒”防护设备，转变为一个可深度定制、与业务紧密耦合的主动防御系统。

2. 核心概念与准备工作：理解CRS的运作框架

在动手写规则之前，我们必须先理解CRS和ModSecurity是如何协同工作的。你可以把ModSecurity想象成一个功能强大的“规则解释与执行引擎”，它嵌入在Web服务器（如Nginx、Apache）中，能够拦截、解析和分析所有的HTTP/HTTPS流量。而CRS，则是装载在这个引擎里的一套“标准弹药库”。我们自定义的规则，则是为特定战场准备的“特种弹药”。

2.1 ModSecurity规则语言基础

ModSecurity规则采用一种类似配置文件的格式，核心结构是SecRule指令。一条最基本的规则看起来是这样的：

SecRule ARGS “@rx \b(union|select|insert|delete|update)\b” \ “id:100001,\ phase:2,\ deny,\ status:403,\ msg:'SQL Injection Attack Detected',\ logdata:'Matched Data: %{MATCHED_VAR} found within %{MATCHED_VAR_NAME}',\ tag:'attack-sqli'”

我们来拆解这条规则的关键部分：

• SecRule：规则声明关键字。
• ARGS：这是变量集合。它代表所有请求参数（GET的查询字符串和POST的请求体）。ModSecurity提供了数十个变量，如REQUEST_HEADERS（请求头）、REQUEST_BODY（请求体）、RESPONSE_BODY（响应体）等，用于指定检查范围。
• “@rx \b(union|select|insert|delete|update)\b”：这是操作符和目标值。@rx表示使用正则表达式进行匹配。后面的字符串就是匹配模式，这里匹配常见的SQL关键字。
• 动作列表（引号内的部分）：定义规则匹配后要执行的动作。
  • id：规则唯一ID，自定义规则建议使用较大的数字（如100000以上），避免与CRS默认规则（通常以9开头，如932100）冲突。
  • phase：处理阶段。这是核心概念。Phase 1是请求头阶段，Phase 2是请求体阶段（此时参数已解析），Phase 3是响应头阶段，Phase 4是响应体阶段，Phase 5是日志记录阶段。大多数针对请求参数的检查在Phase 2进行。
  • deny：阻断动作。还可以是pass（放行）、allow（允许并跳过后续规则）、drop（直接断开连接）等。
  • status：阻断时返回的HTTP状态码，如403。
  • msg和logdata：记录在审计日志中的信息，用于排查和溯源。
  • tag：为规则打上分类标签，便于日志聚合和分析。

注意：直接使用@rx进行简单的关键字匹配是极其粗糙且容易误报的方法，上面示例仅用于教学。在实际编写中，我们需要结合更精细的变量、操作符和链式规则来降低误报。

2.2 CRS的规则结构与编排理念

CRS规则不是杂乱无章的，它遵循严谨的编排理念。理解这一点，有助于我们将自定义规则无缝集成进去，而不是与之冲突。

1. Paranoia Level（偏执等级，PL）：这是CRS最精妙的设计之一。规则被分为多个PL等级（通常0-4）。PL0基本禁用大多数检测，用于排除故障；PL1是默认等级，提供核心保护且误报较低；PL2-4则启用越来越严格、但也可能带来更多误报的规则。自定义规则时，你可以考虑你的规则适用于哪个PL等级。
2. 规则文件分类：CRS规则按攻击类型分文件存放，如REQUEST-932-APPLICATION-ATTACK-SQLI.conf负责SQL注入检测。自定义规则也建议按功能分类，放入独立的.conf文件，然后在主配置中引用。
3. 异常评分机制：CRS采用“协同检测与延迟阻止”策略。单条规则匹配通常不会直接阻断，而是增加一个“异常分数”。当累积分数超过阈值（在crs-setup.conf中定义）时，请求才会在阶段5被阻断。自定义规则也应集成到此机制中，使用setvar:tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}这样的动作来增加分数。

准备工作：

1. 环境搭建：你需要一个安装了ModSecurity和OWASP CRS的测试环境。可以使用Docker快速搭建（例如，owasp/modsecurity-crs镜像），这能避免影响生产系统。
2. 配置调优：首先将CRS运行在PL1等级，并确保其DetectionOnly模式（只记录不阻断）运行正常。通过工具（如Burp Suite、Postman）发送一些测试攻击向量，查看审计日志（通常位于/var/log/modsec_audit.log），熟悉日志格式和规则触发情况。
3. 理解业务：这是最重要的一步。列出你需要保护的关键接口：登录、支付、用户资料修改、文件上传、API查询等。分析它们的正常参数格式、长度、类型和业务逻辑。

3. 自定义规则编写实战：从需求到实现

现在，我们从一个具体的、虚构的业务场景出发，编写一条完整的自定义规则。假设我们有一个用户搜索接口GET /api/v1/search?keyword=xxx&limit=10。业务上，keyword参数允许用户输入任意字符串进行搜索，limit参数必须是1-100之间的整数。

3.1 场景一：防御业务逻辑滥用——防止高频搜索爬取

需求：防止攻击者通过脚本高频调用此接口，爬取网站内容。

分析：这不是传统的注入攻击，CRS通用规则难以覆盖。我们需要基于请求频率进行限制。ModSecurity本身不直接提供频率统计，但可以结合setvar和expirevar在内存中创建计数器。

规则实现：

# 规则 100001：创建客户端IP搜索频率计数器 SecRule REQUEST_FILENAME “@streq /api/v1/search” \ “id:100001,\ phase:1,\ pass,\ nolog,\ setvar:'tx.search_counter_%{REMOTE_ADDR}=+1',\ expirevar:'tx.search_counter_%{REMOTE_ADDR}=3600'”

• 解读：在Phase 1（请求头阶段）就匹配请求URI。pass表示继续执行后续规则。
• setvar:'tx.search_counter_%{REMOTE_ADDR}=+1'：为当前客户端IP（REMOTE_ADDR）创建一个事务变量（tx.），每次匹配规则就加1。变量名动态包含了IP，确保每个IP独立计数。
• expirevar:'tx.search_counter_%{REMOTE_ADDR}=3600'：设置这个计数器在3600秒（1小时）后自动过期。这是实现“时间窗口”的关键。

# 规则 100002：检查计数器是否超过阈值，并应用异常评分 SecRule TX:SEARCH_COUNTER_%{REMOTE_ADDR} “@gt 60” \ “id:100002,\ phase:5,\ deny,\ status:429,\ msg:'Potential Search Crawling Detected: Over 60 requests per hour from %{REMOTE_ADDR}',\ logdata:'Current Count: %{tx.search_counter_%{REMOTE_ADDR}}',\ tag:'application-abuse',\ setvar:'tx.anomaly_score_pl1=+%{tx.notice_anomaly_score}'”

• 解读：在Phase 5（日志阶段）进行检查，此时所有处理已完成，计数器也已更新。
• TX:SEARCH_COUNTER_%{REMOTE_ADDR}：引用之前创建的计数器变量。
• @gt 60：操作符“大于”，阈值设为每小时60次。
• status:429：返回“Too Many Requests”，语义更准确。
• setvar:'tx.anomaly_score_pl1=+%{tx.notice_anomaly_score}'：即使阻断，也增加CRS异常分数（使用notice级别的分数），便于统一监控。

实操心得：频率规则的阈值（如“60”）需要根据实际业务流量进行基线分析来确定。设置过低会影响正常用户，过高则失去防护意义。建议先在DetectionOnly模式下运行一段时间，分析日志中的计数分布，再确定一个合理的百分位（如95%）值作为阈值。

3.2 场景二：增强输入验证——精确校验limit参数

需求：确保limit参数严格为1-100的整数，防止传入0、-1、99999等可能导致业务逻辑错误或资源消耗的值。

分析：CRS的通用数字类型检查可能不够精确。我们可以使用@validateByteRange或@rx进行严格匹配。

规则实现：

# 规则 100003：精确校验limit参数格式 SecRule ARGS_GET:limit “!@rx ^(?:[1-9][0-9]?|100)$” \ “id:100003,\ phase:2,\ deny,\ status:400,\ msg:'Invalid limit parameter format. Must be an integer between 1 and 100.',\ logdata:'Received: %{MATCHED_VAR}',\ tag:'invalid-input',\ setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}'”

• 解读：
• ARGS_GET:limit：只针对GET请求中的limit参数，更精准。
• !@rx ^(?:[1-9][0-9]?|100)$：!表示取反。正则表达式的含义是：匹配一个1-99（[1-9][0-9]?）或者100的数字。如果参数值不匹配这个模式（即不是1-100的整数），则触发规则。
• status:400：返回“Bad Request”，因为这是客户端发送了非法格式的参数。

更优的链式规则实现： 对于更复杂的校验，比如先检查是否存在，再检查类型，最后检查范围，可以使用链式规则（chain）。

SecRule ARGS_GET:limit “@unconditionalMatch” \ “id:100004,\ phase:2,\ pass,\ chain” SecRule &ARGS_GET:limit “@eq 1” \ “chain” SecRule ARGS_GET:limit “@rx ^[0-9]+$” \ “chain” SecRule ARGS_GET:limit “@within 1 100”

• 解读：这条链式规则依次检查：1) 无条件匹配（仅启动链）；2)limit参数存在且唯一（&取变量个数）；3) 全由数字组成；4) 数值在1到100范围内。只有全部通过，请求才会继续。

注意事项：输入验证规则要放在CRS的入侵检测规则（如SQLi、XSS）之前执行。因为如果参数格式非法，业务层根本不会处理，也就没有后续注入的风险。可以通过调整规则文件加载顺序或使用phase优先级（虽然ModSecurity不严格按ID顺序执行，但同阶段内通常按配置加载顺序）来实现。将自定义的严格格式校验规则放在CRS规则文件之前加载，可以提前拦截非法格式，减少CRS规则的计算开销和误报日志。

4. 高级技巧与调试方法论

掌握了基础规则编写后，一些高级技巧能让你如虎添翼。

4.1 利用地理定位与信誉情报

你可以集成外部情报，比如将请求IP与已知的恶意IP库进行比对。这通常需要借助@geoLookup操作符（需配置GeoIP数据库）或通过@rbl查询实时黑名单。

# 示例：检查IP是否来自特定高风险地区（需GeoIP支持） SecRule REMOTE_ADDR “@geoLookup” \ “id:100005,\ phase:1,\ pass,\ chain” SecRule GEO:COUNTRY_CODE “@pm cn ru ir” \ “setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}',\ msg:'Request from high-risk country: %{GEO:COUNTRY_NAME}'”

注意：基于地理位置的拦截需要非常谨慎，避免误伤合法用户。通常建议只用于评分，而非直接阻断，除非有非常明确的威胁情报支持。

4.2 调试：让规则“说话”

编写规则最难的不是语法，而是调试——“它为什么没触发？”或“它为什么误报了？”。ModSecurity的日志是你的最佳伙伴。

1. 开启Debug日志：在测试环境中，将SecDebugLogLevel设置为1-9（数字越大越详细）。SecDebugLog /path/to/debug.log指定日志路径。通过Debug日志，你可以看到规则引擎每一步的变量状态、操作符执行结果。
2. 善用logdata和setvar：在规则动作中，通过logdata记录关键变量的值。你甚至可以临时添加setvar动作，在变量中存入调试信息，然后在后续规则或日志中查看。
3. 审计日志解析：生产环境通常不会开Debug。此时审计日志的B（请求头）、C（请求参数）、F（响应头）、E（错误信息）部分至关重要。重点关注触发规则的id、匹配的变量（Matched Var）和匹配的数据（Matched Data）。

一个典型的调试流程：

• 现象：规则100003对limit=50误报。
• 排查：查看审计日志，找到该条记录。检查Matched Var确认确实是ARGS_GET:limit，值为50。
• 分析：50显然符合正则^(?:[1-9][0-9]?|100)$（匹配1-99或100）。为什么触发了？回顾规则，我们用的是!@rx（不匹配时触发）。50是匹配的，所以不应该触发。矛盾。
• 发现：仔细看日志，发现Matched Data显示为limit=50。原来，ARGS_GET:limit这个变量集合，在某些配置下，返回的是参数名=参数值的字符串，而不是单纯的50。因此，字符串“limit=50”自然不匹配纯数字的正则。
• 解决：修改规则，使用ARGS_GET_NAMES或调整正则表达式，或者使用@validateByteRange操作符进行数字范围校验可能更可靠。

4.3 性能考量与规则优化

每条规则都是性能开销。在编写时需注意：

• 精准定位变量：使用ARGS_GET:param_name而非宽泛的ARGS。使用REQUEST_HEADERS:User-Agent而非所有REQUEST_HEADERS。
• 慎用复杂正则：特别是回溯复杂的正则表达式，在匹配长字符串时可能成为性能瓶颈。尽量使用@pm（多模式匹配）或@pmf（从文件加载模式）进行字符串匹配，效率更高。
• 合理选择Phase：能在Phase 1（请求头）完成的检查，不要放到Phase 2（请求体）。例如，检查HTTP方法、路径、Content-Type等。
• 使用ctl:ruleRemoveById或ctl:ruleRemoveByTag：对于已知的、在特定路径下必然误报的CRS默认规则，可以在自定义规则中动态禁用它们，而不是全局关闭。

5. 常见问题排查与规则管理实录

在实际运营中，你会遇到各种问题。以下是一些典型场景及解决思路。

问题1：规则导致合法请求被阻断（误报）

• 排查步骤：
  1. 查看审计日志，找到被阻断请求的条目，记录规则ID。
  2. 分析Matched Data，看是哪个参数、什么值触发了规则。
  3. 判断该值是否为业务正常所需。例如，用户个人简介里包含“<script>”这个词（比如在讨论前端技术），可能触发XSS规则。
  4. 解决方案：
     • 放宽规则：如果误报是普遍的，修改规则逻辑或正则，使其更精确。
     • 添加白名单：使用SecRule的chain和@unconditionalMatch，针对特定URL路径或参数，在触发通用规则前跳过检查。例如：

     SecRule REQUEST_FILENAME “@streq /api/update_profile” \ “id:100010,\ phase:1,\ pass,\ nolog,\ ctl:ruleRemoveById=941110”

     • 使用异常评分而非直接阻断：将动作从deny改为只增加较低的异常分数，让协同机制去判断。

问题2：攻击请求未被拦截（漏报）

• 排查步骤：
  1. 确认请求是否确实经过了ModSecurity（检查Web服务器错误日志和ModSecurity审计日志是否生成）。
  2. 确认自定义规则文件是否被正确加载（检查Web服务器配置）。
  3. 在测试环境中，使用攻击向量直接测试，并开启Debug日志，观察规则执行流程，看变量是否被正确赋值，操作符匹配逻辑是否符合预期。
  4. 解决方案：
     • 检查变量选择：攻击载荷可能在REQUEST_BODY中，但你只检查了ARGS（默认不包含未解析的multipart/form-databody）。可能需要检查REQUEST_BODY_RAW或启用SecRequestBodyAccess On。
     • 检查Phase：如果攻击在响应体中，你需要编写Phase 4的规则。
     • 优化正则/模式：攻击载荷可能进行了混淆（如UNI/**/ON SELECT）。你的正则可能需要忽略空白符或注释。考虑使用@detectXSS、@detectSQLi等CRS内置的更高级的操作符。

问题3：规则管理混乱，难以维护

• 最佳实践：
  • 按功能分文件：将不同功能的规则放在不同的.conf文件中，如custom-ratelimit.conf、custom-input-validation.conf、custom-business-logic.conf。
  • 使用版本控制：将所有的自定义规则文件纳入Git等版本控制系统，每次修改都有记录。
  • 添加详细注释：在每条复杂规则前，用#注释说明规则目的、设计思路、关联的业务接口和上次修改时间。
  • 建立测试用例集：使用自动化测试工具（如ModSecurity的regression-test工具或自写脚本），针对每条自定义规则，准备合法的请求和攻击请求，确保规则修改后不会破坏原有功能。

问题4：自定义规则与CRS默认规则冲突或重复

• 处理原则：优先利用和适配CRS规则。在编写自定义规则前，先查阅CRS现有规则（特别是同类型攻击的规则文件），理解其逻辑。你的自定义规则应该是CRS的补充（覆盖业务逻辑）或精细化调整（针对特定路径放宽/收紧），而不是简单重复。如果CRS某条规则在你的应用上始终误报，优先考虑通过ctl指令在特定范围内禁用或调整其分数，而不是自己重写一个功能类似的规则。

编写自定义CRS规则是一个持续迭代的过程，需要安全知识、对业务的深刻理解以及耐心的调试。它没有银弹，但每一条精心打磨的规则，都会让你的应用安全防线更加坚固和智能。从今天起，尝试为你最重要的一个API接口编写第一条自定义规则，从日志分析开始，逐步构建起贴合你业务肌肤的主动防御层。