<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Try not to be an alarmist by calling it a vulnerability. It is a protection that is simply not offered because most people don’t end up reflecting user agents onto their page, for pretty obvious reasons. That being said you are fully encouraged to develop
 protections for this if you feel it to be an oversight. If you don’t know how to do this I am more then willing to work offline to help you accomplish this goal. In general you would modify a rule present in the XSS section to include Request_Headers:User-Agent.
 (<a href="https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.0.0-dev/rules/REQUEST-41-APPLICATION-ATTACK-XSS.conf">https://github.com/SpiderLabs/owasp-modsecurity-crs/blob/v3.0.0-dev/rules/REQUEST-41-APPLICATION-ATTACK-XSS.conf</a>). Within this config
 file we have accumulated a number of different XSS filters over time. Feel free to identify which ones make the most sense for where your protection should be placed and add it. You can then issue a push request adding this feature as we use github for version
 control.</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Michele Roviello <<a href="mailto:micheleroviello@gmail.com">micheleroviello@gmail.com</a>><br>
<span style="font-weight:bold">Date: </span>Sunday, July 19, 2015 at 5:34 AM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>" <<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>><br>
<span style="font-weight:bold">Subject: </span>[Owasp-modsecurity-core-rule-set] Submit a change in the CRS<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">Hello, 
<div>I have found a vulnerability in the CRS, I discussed it in a previous mail and they suggested me to submit the protection to this issue. </div>
<div>Can someone tell me what I should I do to submit a change in the CRS?</div>
<div><br>
</div>
<div>Thank you for your help</div>
<div>Michele Roviello</div>
</div>
</div>
</div>
</span><br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>
</font>
</body>
</html>