经过几个小时的错误搜索,我找到了一个可重现的测试。它使用一个简单的形式:
<form name="test" method="POST" action="test.php">
<textarea name="content"></textarea>
<input name="submit" type="submit" value="send"/>
</form>
准确填写 textareasubstring((SELECT
并点击“发送”按钮后,服务器返回一般错误:Connection with the server was reset while downloading
我查看了 http error_log,但没有关于此的报告。
使用:
Linux 2.6.32-220.23.1.el6.x86_64
Build Date Jul 3 2012
Server API Apache 2.0 Handler
Apache Version Apache/2.2.15 (CentOS)
Apache API Version 20051115
PHP Version 5.3.3
test.php 没有 PHP 代码,只有表单。如果我将文件重命名为 test.html 并更改 action="test.html" 错误仍然是一样的。
在 FF 15 和 Chrome 21 上测试,(ERR_CONNECTION_RESET)
Firebug:POST test.php 中止 192.168.1.1 0 192.168.1.1:80
apache 是否有可能过滤我的 POST 数据?我注意到在几个 apache 漏洞利用中都提到了substring((SELECT。我怎样才能禁用这种过滤器?
我的模块中看不到任何 mod_security。