Apache, Lighttpd, nginx, Cherokee
-
acid25
- Posts: 7
- Joined: 2006-02-07 14:58
- Location: Münster
Post
by acid25 » 2007-10-17 16:47
Hallo
ich habe heute mod_security installiert in der neusten stable version und auch das dort angebotene rulseset, es läuft auch soweit ganz gut allerdings "meckert" er bei Umlauten in der url oder auch in Formularen. Das schaut dann so aus
Code: Select all
ModSecurity: Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:data. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"] [hostname "www.XXX.de"] [uri "/cms/front_content.php?area=con_editcontent&idart=9&idcat=11&lang=1&action=20&contenido=a85ad70a809a5ac1dc08b455f70d7f72"] [unique_id "M@QWfdmrycYAAHi@DcAAAAAW"]
Wie kann ich nun umgehen bwz. abstellen das mod_security dies blockt? Vielen Dank für eure Hilfe
MfG
ACID25
-
aubergine
- Posts: 471
- Joined: 2005-09-10 17:52
- Location: Frankfurt am Main
Post
by aubergine » 2007-10-17 21:37
durchsuche die config files und verschiebe die betreffende einfach in einen anderen ordner.
kleiner tipp am rande: bei mir hat das std. ruleset selbst google ausgesperrt daher solltest du weiterhin ein wachsames auge auf mod_security haben.
-
acid25
- Posts: 7
- Joined: 2006-02-07 14:58
- Location: Münster
Post
by acid25 » 2007-10-18 11:49
Hi
danke für den tip, hab schon die ganze zeit 2 augen drauf
....aber gibt es nicht sowas wie´ne "whitelist" ?
Hab das vorerst mit einer vhost.conf gelöst
Code: Select all
<Directory /home/httpd/vhosts/XXX/httpdocs>
SecRuleRemoveByID 950107
</Directory>
find diese Lösung aber nicht gerade elegant.
MfG
ACID25
-
daemotron
- Administrator
- Posts: 2635
- Joined: 2004-01-21 17:44
Post
by daemotron » 2007-10-18 14:29
Eine Positiv-Liste sollte seit Version 2.0 verfügbar sein (siehe
http://www.modsecurity.org/blog/archives/2005/11/positive_securi.html). Ich hab das Thema aber nicht mehr weiter verfolgt, von daher kann ich nicht genau sagen, wie gut das ganze implementiert ist.
