mod_security und Umlaute?

[acid25]

Hallo

ich habe heute mod_security installiert in der neusten stable version und auch das dort angebotene rulseset, es läuft auch soweit ganz gut allerdings "meckert" er bei Umlauten in der url oder auch in Formularen. Das schaut dann so aus

Code: Select all

ModSecurity: Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:data. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"] [hostname "www.XXX.de"] [uri "/cms/front_content.php?area=con_editcontent&idart=9&idcat=11&lang=1&action=20&contenido=a85ad70a809a5ac1dc08b455f70d7f72"] [unique_id "M@QWfdmrycYAAHi@DcAAAAAW"]

Wie kann ich nun umgehen bwz. abstellen das mod_security dies blockt? Vielen Dank für eure Hilfe

MfG
ACID25

[aubergine]

durchsuche die config files und verschiebe die betreffende einfach in einen anderen ordner.

kleiner tipp am rande: bei mir hat das std. ruleset selbst google ausgesperrt daher solltest du weiterhin ein wachsames auge auf mod_security haben.

[acid25]

Hi

danke für den tip, hab schon die ganze zeit 2 augen drauf ....aber gibt es nicht sowas wie´ne "whitelist" ?
Hab das vorerst mit einer vhost.conf gelöst

Code: Select all

<Directory /home/httpd/vhosts/XXX/httpdocs>
SecRuleRemoveByID 950107
</Directory>

find diese Lösung aber nicht gerade elegant.

MfG
ACID25

[daemotron]

Eine Positiv-Liste sollte seit Version 2.0 verfügbar sein (siehe http://www.modsecurity.org/blog/archives/2005/11/positive_securi.html). Ich hab das Thema aber nicht mehr weiter verfolgt, von daher kann ich nicht genau sagen, wie gut das ganze implementiert ist.