<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    <br>
    Hi Manuel, <br>
    <br>
    Sorry, obviously I didn't explain well enough what I want to do. <br>
    I do not want to run a script every time a block ( = certain
    directory structure or URL ) <br>
    is read by a client. <br>
    A script should only be triggered if one of these core rules from
    CRS <br>
    found an attack and is blocking. <br>
    Only in this situation a script should run for this specific URL.<br>
    I hope this describes a little bit better. <br>
    I tried different possibilities, for example with SecRule
    HIGHEST_SEVERITY,<br>
    but all of them without success. <br>
    <br>
    <br>
    // Hans <br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 19.07.18, 23:46, Manuel Spartan
      wrote:<br>
    </div>
    <blockquote
cite="mid:CAN6xG9tVWkfFi6ieqfA9K45dLy33oCsBTQnWueHXkgNZ=YRH1w@mail.gmail.com"
      type="cite">
      <div dir="ltr">Hi Hans, 
        <div><br>
          <div>it may not be the best idea to execute external scripts
            every time you hit a block, it can easily result in a DOS
            situation, external scripts take longer to execute resulting
            in longer processing times, SecDefaultAction inside a
            directory must override the inherited SecDefaultAction in
            higher context but that would depend on your rules and
            apache configuration.</div>
        </div>
        <div><br>
        </div>
        <div>Alternatively you may add a SecRule in phase 2 to check
          whatever condition you are targetting and use ctl:SkipAfter to
          jump the SecAction in phase 2. See how the paranoia markers
          and actions work as they use the same concept.</div>
        <div><br>
        </div>
        <div>Cheers! </div>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">2018-07-19 15:11 GMT-05:00 hans mayer <span
            dir="ltr"><<a moz-do-not-send="true"
              href="mailto:mod.sec@ma.yer.at" target="_blank">mod.sec@ma.yer.at</a>></span>:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
            Dear All,<br>
            <br>
            My environment: Apache/2.4 , engine mode: /modsecurity 2.7+<br>
            <br>
            I want to achieve whenever any security rule is triggered a
            script should be executed for a specific directory.<br>
            <br>
            In the global Apache security module settings I have this
            line:<br>
            <br>
            SecDefaultAction "phase:2,deny,log,status:406"<br>
            <br>
            which does it's job very well<br>
            <br>
            So my idea was I define a similar line for this specific
            directory. In my apache http.conf I have:<br>
            <br>
            <Directory  "/some/directory/path"><br>
                 SecDefaultAction "phase:2,deny,log,status:406,e<wbr>xec:/path/to/script"<br>
            </Directory><br>
            <br>
            But obviously it doesn't work. The originally
            SecDefaultAction is maybe executed first and not over ruled.<br>
            /path/to/script is never executed.<br>
            But an attack is successfully blocked.<br>
            <br>
            To verify if this script is generally working I modified
            this line to:<br>
            <br>
            SecAction "id:10003,pass,auditlog,log,ph<wbr>ase:5,msg:'log
            everything',exec:///path/to/sc<wbr>ript"<br>
            <br>
            And this works fine. My script is executed. But it triggers
            each time a browser is going to "/some/directory/path" on
            this server. Even if it's doing legal things.<br>
            <br>
            Any idea how I could solve my problem ? Any help is
            appreciated.<br>
            <br>
            I know version 3 is out with a lot of bugfixes. But
            currently I don't want to upgrade.<br>
            <br>
            Kind regards<span class="HOEnZb"><font color="#888888"><br>
                Hans<br>
                <br>
                -- <br>
                <br>
                <br>
                ______________________________<wbr>_________________<br>
                Owasp-modsecurity-core-rule-se<wbr>t mailing list<br>
                <a moz-do-not-send="true"
                  href="mailto:Owasp-modsecurity-core-rule-set@lists.owasp.org"
                  target="_blank">Owasp-modsecurity-core-rule-se<wbr>t@lists.owasp.org</a><br>
                <a moz-do-not-send="true"
href="https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set"
                  rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-modsecurity-<wbr>core-rule-set</a><br>
              </font></span></blockquote>
        </div>
        <br>
      </div>
    </blockquote>
    <br>
  </body>
</html>