Suppongo che i tuoi host stiano usando il set di regole mod_security Atomicorp. L'errore "Tentativo di Iniezione File Remoto in ARGS" è documentato qui ; puoi vedere il codice qui .
Questa regola non consente l'input che assomiglia ad un URL da tutti i campi, presupponendo che qualsiasi menzione di un URL sia un tentativo di ottenere l'applicazione per recuperare ed eseguire il contenuto su quell'URL. Questo è incredibilmente improbabile e piuttosto inutile, ma nessuno ha detto che i WAF sono intelligenti.
Poiché naturalmente questo rompe quasi tutti i siti, la regola include un sacco di eccezioni per le applicazioni web ampiamente utilizzate. Sembra che se inserisci una stringa simile a un'applicazione nota nel tuo URL (ad esempio jomsocial/x/add
) o utilizzi il nome di un parametro di un'applicazione nota per il tuo URL (ad esempio origin
), probabilmente sarai in grado di eludere la regola . Ovviamente la lista delle eccezioni contiene molte applicazioni che in realtà hanno sofferto da molteplici e gravi falle nella sicurezza, ma nessuno ha detto che i WAF sono intelligenti.
In generale, i WAF come questo e altri complessi set di regole mod_security non sono molto utili come protezione dalle intrusioni per applicazioni web generiche. Hanno bisogno di una configurazione specifica per riconoscere quale input è e non è previsto, e per le applicazioni personalizzate che hai scritto tu stesso lo sforzo richiesto per fare quella configurazione è solitamente meglio speso assicurandoti che l'input sia gestito in modo appropriato nell'applicazione stessa.
(Possono essere utili per il rilevamento dei tentativi di intrusione e per correggere i problemi nel software di qualcun altro che non è possibile modificare o come misura temporanea finché non è possibile correggerli correttamente. non è sensato, e riscrivere software personalizzati per aggirare i blocchi WAF non è realmente produttivo o sostenibile.)
Se la tua società di hosting insiste nell'usare un'istanza di mod_security al di fuori del tuo controllo per bloccare input di applicazioni perfettamente validi, cercherò un'azienda di hosting più intelligente.