Iniezione file remoto nel database di aggiornamento modulo di blocco ARGS

1

Ricevo una pagina vietata perché mod_security la blocca con Iniezione file remota nella regola ARGS.

Come faccio a smettere di fare a meno di non includere gli URL nei campi del modulo o di rimuovere il prefisso http: // dell'URL prima dell'invio allo script di aggiornamento (i dati vengono aggiornati dal modulo).

La società di hosting ha dovuto rimuovere alcune regole per impedire che ciò accadesse prima, ma anche dopo aver riscritto i moduli che sta ancora accadendo.

Come posso riscrivere il modulo per fermare l'errore del firewall?

    
posta Dwight Walker 23.04.2013 - 17:47
fonte

2 risposte

1

Suppongo che i tuoi host stiano usando il set di regole mod_security Atomicorp. L'errore "Tentativo di Iniezione File Remoto in ARGS" è documentato qui ; puoi vedere il codice qui .

Questa regola non consente l'input che assomiglia ad un URL da tutti i campi, presupponendo che qualsiasi menzione di un URL sia un tentativo di ottenere l'applicazione per recuperare ed eseguire il contenuto su quell'URL. Questo è incredibilmente improbabile e piuttosto inutile, ma nessuno ha detto che i WAF sono intelligenti.

Poiché naturalmente questo rompe quasi tutti i siti, la regola include un sacco di eccezioni per le applicazioni web ampiamente utilizzate. Sembra che se inserisci una stringa simile a un'applicazione nota nel tuo URL (ad esempio jomsocial/x/add ) o utilizzi il nome di un parametro di un'applicazione nota per il tuo URL (ad esempio origin ), probabilmente sarai in grado di eludere la regola . Ovviamente la lista delle eccezioni contiene molte applicazioni che in realtà hanno sofferto da molteplici e gravi falle nella sicurezza, ma nessuno ha detto che i WAF sono intelligenti.

In generale, i WAF come questo e altri complessi set di regole mod_security non sono molto utili come protezione dalle intrusioni per applicazioni web generiche. Hanno bisogno di una configurazione specifica per riconoscere quale input è e non è previsto, e per le applicazioni personalizzate che hai scritto tu stesso lo sforzo richiesto per fare quella configurazione è solitamente meglio speso assicurandoti che l'input sia gestito in modo appropriato nell'applicazione stessa.

(Possono essere utili per il rilevamento dei tentativi di intrusione e per correggere i problemi nel software di qualcun altro che non è possibile modificare o come misura temporanea finché non è possibile correggerli correttamente. non è sensato, e riscrivere software personalizzati per aggirare i blocchi WAF non è realmente produttivo o sostenibile.)

Se la tua società di hosting insiste nell'usare un'istanza di mod_security al di fuori del tuo controllo per bloccare input di applicazioni perfettamente validi, cercherò un'azienda di hosting più intelligente.

    
risposta data 24.04.2013 - 00:21
fonte
0

Chiedi al tuo provider di assicurarti che stiano usando modsecurity 2.7.3 o versioni successive e che abbiano abilitato questa opzione:

- enable-htaccess-config

Quando hanno compilato il DSO di Modsecurity di Apache.

Questo ti permetterà di disabilitare questa regola e altre regole, usando .htaccess. Il formato per disabilitare una regola in .htaccess, a condizione che sia abilitato, è documentato nell'URL sottostante:

link

    
risposta data 04.05.2013 - 23:01
fonte

Leggi altre domande sui tag