问题标签 [mod-security]

有谁知道为什么我们服务器上的某些访问者在站点上简单地右键单击文件（.doc、.gif、.pdf 等）以下载它时会被以下 mod_security 规则阻止？他们似乎都是 Windows/IE 用户。

除了注释掉规则本身，我们还能做些什么？

感谢您的任何想法。

我发现了这个类似的问题，但没有解决：IE Sending OPTIONS Request for File Downloads

感谢您的任何想法。

编辑：我想我们找到了罪魁祸首。这是被阻止的人的日志中的一个项目：

由于 PROPFIND 未包含在我们的请求方法中，因此它会生成 406 错误。所以接下来的问题是——我们应该把它添加到规则中吗？有哪些安全隐患？我们可以添加一些东西来防止这里描述的“DavDepthInfinity”周围的问题，或者这是因为潜在风险很小而引起的很多担忧？ http://httpd.apache.org/docs/2.0/mod/mod_dav.html#davdepthinfinity

我不知道过去发生了什么变化——这曾经有效：

在我的服务器上访问如下 URL 不起作用：http ://www.domain.com/folder/file.php?variable=a&variable2=b

我收到“未找到请求的地址 406.shtml 在此服务器上未找到”。信息。

但是，如果我访问它，它可以工作： http: //www.domain.com/folder/file.php

在 file.php 之后添加问号是它中断的原因。我以前从未遇到过这样的问题。起初我认为 .htaccess 与它有关，但我知道它过去根本没有被编辑过。

有任何想法吗？我正在使用 CakePHP，但我怀疑这与它有什么关系；这以前有效。欢迎所有建议！

编辑： /app/webroot .htaccess 文件有这个：

据我所知，这根本没有改变，并且 URL 与它一起使用。/public_html/ 下的 .htaccess 文件包含以下内容：

我在共享远程主机上使用 copy() 的 php 脚本有困难。我在这里读过主机可能根本不允许使用 copy() 函数。我开了一张故障单，问题解决了一半，归咎于 mod_security。我坚持了下来，现在我的脚本正在运行。修复后的最后一个奇怪的反应是：

“不幸的是，由于这些是共享服务器，我们无法对服务器配置进行任何自定义修改。您可以执行的最多自定义是 PHP 设置。任何与服务器相关的设置都无法修改。”

这个人说“PHP 设置”时指的是什么？请注意，该站点使用 cPanel。

另一个奇怪的事情是我的 php CMS 应用程序。现在正在数据库中加倍编辑（好像我是在插入而不是更新）。在我的测试服务器上不是这种情况。mod_security 中的修复如何导致 mysql 更新行为不同？

基于 DOM（类型 0）的 XSS 不需要向服务器发送恶意代码，因此它们也可以使用静态 HTML 页面作为攻击媒介。此处的虚拟攻击字符串示例如下：

我熟悉 ModSecurity 提供针对被认为是 0 型攻击的 PDF 中的 XSS 攻击的保护，但是我的问题是 ModSecurity 是否通常可以防止这种类型的 XSS，以及您认为这种漏洞的影响是什么。

我有一项任务是开发 Web 应用程序防火墙。我一直在研究这方面的一些源代码。我的主要来源是 ModSecurity。

主要问题是：

-我可以使用哪种框架或编程语言来开发 Web 应用程序防火墙？哪一个最有用？

-我可以使用 Django 和 Python 吗？

这将是项目研究的起点。

在我的错误日志文件中，我一遍又一遍地阅读以下内容：

[Thu Feb 03 03:14:32 2011] [error] [client 64.246.165.200] mod_security: Access denied with code 500. Pattern match "SurveyBot" at HEADER("USER-AGENT") [hostname "mywebsite.be"] [uri "/nl/home"]

[Thu Feb 03 03:18:12 2011] [error] [client 64.246.161.190] mod_security: Access denied with code 500. Pattern match "SurveyBot" at HEADER("USER-AGENT") [hostname "mywebsite.com"] [uri "/en/home"]

on and on and on
这是什么意思？？
我应该采取任何行动吗？

我修改了我在这里找到的一个脚本来处理一次上传的多张图片。但是，当我尝试运行脚本时，它会引发错误。我曾经让脚本一次只允许上传一张图片，而且效果很好，没有任何问题。

这是我的代码。

这是500错误。

内部服务器错误

服务器遇到内部错误或配置错误，无法完成您的请求。

请联系服务器管理员 webmaster@localhost 并告知他们错误发生的时间，以及您所做的任何可能导致错误的事情。

服务器错误日志中可能提供有关此错误的更多信息。

此外，在尝试使用 ErrorDocument 处理请求时遇到 500 Internal Server Error 错误。

这是apache日志文件所说的：

[2011 年 3 月 23 日星期三 02:29:41] [错误] [客户端 129.21.129.32] ModSecurity：使用代码 500（第 4 阶段）拒绝访问。模式匹配 "(?:\b(?:(?:s(?:elect 列表，因为它不包含在 (?:an 聚合函数并且没有|聚合函数或) GROUP BY 子句|提供的参数)在 RESPONSE_BODY 中不是有效的 (?:(?:M(?:S |y)|Postgre)SQL|O(?:racle|DBC))|S(?:yntax error converti ..."。[文件“/etc/apache2/conf.d/modsecurity/modsecurity_crs_50_outbound.conf”] [line "23"] [id "970003"] [msg "SQL Information Leakage"] [severity "WARNING"] [tag "LEAKAGE/ERRORS" ] [主机名“hostname.com”] [uri“/longboard/index.php/board/add”] [unique_id“TYmTVYEVgWYAAASKoIcAAAAJ”]

根据错误消息，我认为 modsecurity 出于某种原因阻止了脚本，但我不确定为什么。任何见解将不胜感激。

谢谢

我正在尝试通过我在 DreamHost 上使用 fb.py 制作的 Facebook 应用程序（iframe）访问 Django 页面，但我不断收到内部服务器错误。

查看错误日志，这是我看到的：

ModSecurity：输出过滤器：无法读取存储桶（rc 104）：对等方重置连接

我认为它只是与 POST 请求有关。大约一年前，其他人在许多论坛上询问了此错误，但无济于事：

ModSecurity：输出过滤器：无法读取存储桶（rc 104）：对等方重置连接

我能在http://www.modsecurity.org上找到的搜索是：

“当 mod_security 拒绝这样的请求时，它会在输出过滤器链中发送一个错误桶，例如代码 403，使 r->status 保持原样（例如 500）。”

有任何想法吗？谢谢！

我们之前将 htmlpurifier 集成到了基于 LAMP 的产品中，但速度有点慢。最近，我们开启了 mod_security。这两个都是 OWASP 项目的一部分（最后我检查了 owasp 在内部使用了 htmlpurifer），所以我认为安全性是多余的。

你有什么建议？关闭 htmpurifier 是一个可行的选择吗？感谢您的任何回答。

我正在尝试在 Windows 2008 服务器和 IIS 7 上安装 PIWIK ( http://piwik.org )。

PIWIK 使用 PHP 和 MySQL。

当我运行安装过程时，出现以下错误。

我不知道如何为 Piwik 启用 mod_security 和 HTTP 身份验证。

目前，我正在使用匿名身份验证。

请给我建议。