In diesem Artikel erfahren Sie, was das OWASP Core Rule Set (CRS) ist und wie Sie damit Ihre Website schützen können.
Was ist das OWASP Core Rule Set?
Das «OWASP Core Rule Set» (abgekürzt «CRS») ist ein Werkzeug, mit dem Sie Ihre Website vor generischen Angriffen schützen können. Angriffe gelten als generisch, wenn sie nicht auf eine bestimmte Anwendung oder Technologie, sondern auf weit verbreitete Sicherheitslücken abzielen. Das CRS ist eine Sammlung von Regeln, mit deren Hilfe solche Angriffe erkannt werden können. Alle Anfragen an eine Website werden anhand dieser Regeln analysiert. Entspricht eine Anfrage den Kriterien einer oder mehrerer Regeln, wird der Zugriff auf die Website blockiert. Wenn nicht, dann wird der Zugriff erlaubt.
Das CRS hilft somit dabei, potenzielle Bedrohungen zu erkennen und die Sicherheit Ihrer Website zu erhöhen. Es schützt vor einer Vielzahl unterschiedlicher Angriffe wie beispielsweise «SQL Injection» oder «Cross Site Scripting». Weitere Informationen zu den häufigsten Angriffen, gegen die das CRS schützt, finden Sie auf der Website vom OWASP Core Rule Set.
Das CRS wird von der Organisation OWASP entwickelt und gepflegt. OWASP steht für «Open Worldwide Application Security Project» und ist eine gemeinnützige Organisation mit dem Ziel, die Sicherheit von Anwendungen, Diensten und Software zu verbessern.
Anwendung bei Hostpoint
Das OWASP CRS ist bei Hostpoint standardmässig deaktiviert. Sie können es selbstständig im Hostpoint Control Panel aktivieren. Wie das geht, erfahren Sie im Abschnitt «OWASP CRS aktivieren».
Da die Regeln des CRS sehr strikt sind, werden manchmal auch legitime Zugriffe blockiert. In diesem Zusammenhang spricht man auch von «False Positives». Um dies zu vermeiden, haben Sie die Möglichkeit, die Regeln mittels sogenannter «Exclusion Plugins» und «Exclude Rules» abzuschwächen oder gar zu deaktivieren.
Exclusion Plugins
Für einige der gängigsten Content-Management-Systeme (CMS) (z. B. WordPress) gibt es Plugins, mit denen die Regeln des CRS abgeschwächt werden können. Diese Plugins werden auch als «Exclusion Plugins» bezeichnet. Wenn ein solches Plugin für das von Ihnen verwendete CMS existiert, empfehlen wir Ihnen, es zu aktivieren.
Exclude Rules
Wenn Ihnen das CRS trotz aktiviertem Plugin zu strikt ist oder für Ihr CMS kein Plugin existiert, können Sie einzelne Regeln deaktivieren. So können Sie das CRS noch genauer an Ihre Bedürfnisse anpassen.
Um eine solche Ausnahmeregel (auch «Exclude Rule» genannt) hinzuzufügen, benötigen Sie die ID der auszuschliessenden Regel. Diese finden Sie im Fehlerprotokoll (Errorlog) Ihrer Website, das Sie über das Hostpoint Control Panel herunterladen können. Im Errorlog werden die blockierten Anfragen an Ihre Website aufgezeichnet und mit der ID der entsprechenden Regel versehen. Die betroffene Anfrage finden Sie am einfachsten, indem Sie in der Datei nach der Uhrzeit oder IP-Adresse suchen.
Das folgende Beispiel zeigt einen Request, der durch das OWASP CRS blockiert wurde. Wenn der Zugriff als legitim erachtet wird und man nicht möchte, dass solch eine Anfrage blockiert wird, kann man die Rule-ID (rot markiert) zu den «Exclude Rule IDs» hinzufügen.
[Tue Jan 07 02:43:43.657734 2025] [-:error] [pid 78379:tid 38756085760] ModSecurity: Warning. Matched phrase ".env" at REQUEST_FILENAME. [file "/usr/local/etc/apache24/Includes/mod_security/crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "143"] [id "930130"] [msg "Restricted File Access Attempt"] [data "Matched Data: .env found within REQUEST_FILENAME: /.env"] [severity "CRITICAL"] [ver "OWASP_CRS/4.6.0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/255/153/126"] [tag "PCI/6.5.4"] [hostname "ihre-eigene-domain.ch"] [uri "/.env"] [unique_id "Z3yGz6UWH6z-1DWgHdR_DwAAAPA"
OWASP CRS aktivieren
Um das OWASP CRS zu aktivieren, gehen Sie wie folgt vor:
- Melden Sie sich mit Ihrer Hostpoint ID im Hostpoint Control Panel an.
- Öffnen Sie Ihr Webhosting.
- Klicken Sie im linken Menü auf «Webseiten».
- Klicken Sie bei der gewünschten Website auf «Bearbeiten».
→ Sie sehen eine Übersicht der Einstellungen für die Website. - Scrollen Sie nach unten zum Abschnitt «Web Application Firewall» und klicken Sie bei «OWASP Core Rule Set (CRS)» auf «Bearbeiten».
- Aktivieren Sie das OWASP CRS.
- Falls gewünscht, können Sie hier auch gleich ein Exclusion Plugin aktivieren oder Exclude Rule IDs konfigurieren.
→ Das OWASP CRS wurde aktiviert.
Weiterführende Informationen
Detailliertere Informationen zu OWASP und dem Core Rule Set erhalten Sie auch bei folgenden Stellen:
- OWASP: https://owasp.org/
- Core Rule Set: https://coreruleset.org/ und https://owasp.org/www-project-modsecurity-core-rule-set/
Für Supportanfragen verwenden Sie bitte dieses Formular.