Najlepszy sposób na rejestrowanie danych POST w Apache?

Question

Wyobraź sobie, że masz interfejs API witryny, który akceptuje dane w postaci żądań GET z parametrami lub jako żądania POST (np. Ze standardowymi kodowanymi adresami URL, & -separowane dane POST). Jeśli chcesz logować się i analizować wywołania API, żądania GET będą łatwe, ponieważ znajdą się w dzienniku apache. Czy istnieje prosty sposób uzyskania danych POST również w dzienniku apache?

(Oczywiście możemy rejestrować dane POST wyraźnie we wniosku, ale chciałbym mieć drogę konfiguracja poziomu, który pozwoli mi nie martwić się o to w kodzie).

Answer 1

zrobiłbym to w w rzeczywistości aplikacja. Nadal można go konfigurować w czasie wykonywania, oczywiście w zależności od systemu rejestratora. Na przykład, jeśli korzystasz z Loga Apache (log4j/cxx), możesz skonfigurować dedykowany program rejestrujący dla takich URL-i, a następnie skonfigurować go w środowisku wykonawczym z pliku XML.

Answer 2

Niezupełnie odpowiedź, ale nigdy nie słyszałem o sposobie, aby to zrobić w samym Apache. Sądzę, że może to być możliwe z modułem rozszerzenia, ale nie wiem, czy został napisany.

Jedną z obaw jest to, że dane POST mogą być dość duże, a jeśli nie wprowadzi się pewnego rodzaju ograniczenia co do ilości rejestrowanych danych, po pewnym czasie może zabraknąć miejsca na dysku. Jest to prawdopodobna droga dla hakerów, aby zepsuć serwer.

Answer 3

Użyj Apache's mod_dumpio. Zachowaj ostrożność z oczywistych powodów.

Zauważ, że mod_dumpio stops logging binary payloads at the first null character. Na przykład przesłanie pliku gzip'd do formatu multipart/form-data będzie prawdopodobnie pokazywać tylko kilka pierwszych bajtów przy użyciu polecenia mod_dumpio.

Należy również zauważyć, że Apache może nie wspomnieć o tym module w httpd.conf, nawet jeśli jest obecny w folderze /modules. Wystarczy ręcznie dodać LoadModule będzie działać dobrze.

Answer 4

Chociaż jest późno na odpowiedź. Ten moduł może: https://github.com/danghvu/mod_dumpost

Answer 5

Łatwiejszym rozwiązaniem może być rejestrowanie danych POST, zanim dotrze do serwera. W przypadku aplikacji internetowych używam Burp Proxy i ustaw Firefoxa na używanie go jako proxy HTTP/S, a następnie mogę oglądać (i szyć) dane "na drucie" w czasie rzeczywistym.

Do tworzenia żądań API bez przeglądarki, SoapUI jest bardzo użyteczne i może wyświetlać podobne informacje. Mogłabym się założyć, że prawdopodobnie mógłbyś skonfigurować SoapUI, aby połączyć się również z Burpem (tylko zgadnij).

Answer 6

Można zainstalować mod_security i umieścić w /etc/modsecurity/modsecurity.conf:

SecRuleEngine On 
SecAuditEngine On 
SecAuditLog /var/log/apache2/modsec_audit.log 
SecRequestBodyAccess on 
SecAuditLogParts ABIJDFHZ 

Answer 7

Można użyć ModSecurity aby zobaczyć dane POST.

Instalacja na Debian/Ubuntu:

$ sudo apt install libapache2-mod-security2 

Użyj zalecanej plik konfiguracyjny:

$ sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf 

i edytować następujące linie

SecRuleEngine DetectionOnly 
SecAuditEngine RelevantOnly 

do

SecRuleEngine On 
SecAuditEngine On 

Odśwież Apache:

$ sudo service apache2 reload 

---

Będziesz teraz znaleźć dane rejestrowane pod /var/log/apache2/modsec_audit.log

$ tail -f /var/log/apache2/modsec_audit.log 
--2222229-A-- 
[23/Nov/2017:11:36:35 +0000] 
--2222229-B-- 
POST/HTTP/1.1 
Content-Type: application/json 
User-Agent: curl 
Host: example.com 

--2222229-C-- 
{"test":"modsecurity"}