mod_security und Umlaute?

Apache, Lighttpd, nginx, Cherokee
acid25
Posts: 7
Joined: 2006-02-07 14:58
Location: Münster

mod_security und Umlaute?

Post by acid25 » 2007-10-17 16:47

Hallo

ich habe heute mod_security installiert in der neusten stable version und auch das dort angebotene rulseset, es läuft auch soweit ganz gut allerdings "meckert" er bei Umlauten in der url oder auch in Formularen. Das schaut dann so aus

Code: Select all

ModSecurity: Access denied with code 400 (phase 2). Pattern match "\\%(?!$|\\W|[0-9a-fA-F]{2}|u[0-9a-fA-F]{4})" at ARGS:data. [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"] [hostname "www.XXX.de"] [uri "/cms/front_content.php?area=con_editcontent&idart=9&idcat=11&lang=1&action=20&contenido=a85ad70a809a5ac1dc08b455f70d7f72"] [unique_id "M@QWfdmrycYAAHi@DcAAAAAW"]

Wie kann ich nun umgehen bwz. abstellen das mod_security dies blockt? Vielen Dank für eure Hilfe

MfG
ACID25

aubergine
RSAC
Posts: 475
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: mod_security und Umlaute?

Post by aubergine » 2007-10-17 21:37

durchsuche die config files und verschiebe die betreffende einfach in einen anderen ordner.

kleiner tipp am rande: bei mir hat das std. ruleset selbst google ausgesperrt daher solltest du weiterhin ein wachsames auge auf mod_security haben.

acid25
Posts: 7
Joined: 2006-02-07 14:58
Location: Münster

Re: mod_security und Umlaute?

Post by acid25 » 2007-10-18 11:49

Hi

danke für den tip, hab schon die ganze zeit 2 augen drauf ;)....aber gibt es nicht sowas wie´ne "whitelist" ?
Hab das vorerst mit einer vhost.conf gelöst

Code: Select all

<Directory /home/httpd/vhosts/XXX/httpdocs>
SecRuleRemoveByID 950107
</Directory>


find diese Lösung aber nicht gerade elegant.

MfG
ACID25

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: mod_security und Umlaute?

Post by daemotron » 2007-10-18 14:29

Eine Positiv-Liste sollte seit Version 2.0 verfügbar sein (siehe http://www.modsecurity.org/blog/archives/2005/11/positive_securi.html). Ich hab das Thema aber nicht mehr weiter verfolgt, von daher kann ich nicht genau sagen, wie gut das ganze implementiert ist.