Lidando com um falso positivo mod_security

Quis custodiet ipsos custodes?

O mod_security é uma das melhores ferramentas de segurança do ambiente LAMP, mas dependendo da sua fonta de regras, podem haver diversos falsos positivos.
Como um módulo do Apache, você pode configurá-lo por seções no arquivo de configuração. Ao invés de desligar uma regra para todo o servidor por causa do falso positivo, você pode identificar essa regra e então desabilitar somente a regra do falso positivo do mod_security, somente para o script específico que você garante que é seguro.

Identificando a regra

Eu gostaria de fazer uma receita de bolo aqui... NOT. Desculpa mas tenho que fazer outras coisas ainda hoje, qualquer coisa pegue seu pagamento de volta na saída. LOGS SÃO SEUS AMIGOS, configure o mod_security para registrar tudo, ficaria algo como:

SecRule REMOTE_ADDR "^192\.168\.0\.1$" phase:1,log,pass,ctl:debugLogLevel=9

Lembre-se de substituir 192.168.0.1 pelo seu IP atual, isso vai permitir que somente para acessos vindos de você estejam no nível mais alto de depuração.

Identifique-se!

Encontrou a regra que estava causando o falso positivo? Parabéns, minha autarquia! Agora adicione uma identificação a regra, adicionando o parâmetro "id:9876543210" (qualquer número desejado), porque?

Desabilitando a regra

Como um módulo do Apache, vamos ao arquivo de configuração dele! Escreva na seção do vhost onde está havendo o falso positivo para desabilitar a regra para o arquivo desejado:

<IfModule mod_security2.c>
  <LocationMatch "⁄wwwroot⁄arquivo.bla"
    SecRuleRemoveById 9876543210
  <⁄LocationMatch>
<⁄IfModule>

Feito isso, reinicie o servidor do Apache e continue a nadar.