Acabei de configurar o modsecurity do Apache em um servidor e, em princípio, funciona bem, mas estou recebendo muitos falsos positivos.

Estou usando oConjunto de regras principais do OWASP ModSecurity (CRS), essencialmente "pronto para uso".

Estou executando no modo "independente" (tradicional), em vez do modo colaborativo (anomalia):

SecDefaultAction "phase:1,deny,log"
SecDefaultAction "phase:2,deny,log"

De particular preocupação é o conjunto de injeção SQL. Tubos duplos (||) colchetes de ângulo duplo (>>) e várias outras entradas acionarão a regra e farão com que a página seja bloqueada. Muitos deles podem aparecer facilmente na entrada legítima do usuário.

Existe uma maneira elegante de permitir seletivamente dados comuns que não são necessariamente indicativos de um ataque de injeção? Sei que atualmente estou acabando, mas certamente o bloqueio de tubos duplos e colchetes seria muito rigoroso para quase todos os casos de uso?