apache mod_security diyor - Erişim Engellendi hatası

2 Cevap php

Background -

Benim web sitesi kod linux sunucu üzerinde barındırılan. Benim web sitesi sağlar işverenler için yeni kayıt (http://www.gymandspajobs.com/Employer/Employer.php). Dolu-up formlar klasöründe JavaScript'ler "/javascript" ve bilgi Tamam bulunursa, veri JavaScript HTTP isteği nesne ve PHP dosyası üzerinden gönderilen "somefile.php tarafından doğrulandı "klasöründe tutulur" /somefolder "kök dizin altında veritabanı ekler yapar.

Problem -

When a new user tried to register using Firefox (I tested in WinXP SP2, Firefox - v3.5.2), the HTTP response I used to get (which I tapped in my JavaScript file) was "You don't have permission to access /somefolder/somefile.php on this server." .

Şaşırtıcı, aynı işlevselliği IE7 ve Chrome gayet iyi çalıştı.

Latest Update on the Problem -

Benim web hosting çocuklar temas ve benim sorunum ben onlardan bu yanıtı aldıktan sonra çözüldü gibi görünüyor.

Biz bunu düzeltmek için etki için mod_security devre dışı bıraktık. Etki alanınız için httpdocs dizini altında. Htaccess dosyasına aşağıdaki satırları girdiniz. Biz de doğrulanmış ve herhangi bir sorun olmadan İşveren kayıt göndermek için başarıyla mümkün gelmiştir. ~ ~ ~ ~ ~ Kapalı SecFilterEngine ~ ~ ~ ~ ~

Sorun çözüldü var olsa da, ben güvenliğini tehlikeye gibi "SecFilterEngine off" Bu sorunun en iyi çözüm olmayabilir yapma düşünüyorum. Mod_security ON tutmak ve henüz çalışmak benim işlevselliği almak için bir yol olup olmadığını dolayısıyla ben hosting çocuklar sordu ...... burada kendi cevap olduğunu .....

S. benim kod ON mod_security tutarak henüz çalışabilir herhangi bir yolu var mı?

Ans. Mümkündür. Ama bu kolay değildir. Biz apache hata günlüklerine bu girdiyi bulunan "!(^application/x-www-form-urlencoded$|^multipart/form-data;) çünkü" URI desen olmamalıdır böyle bir şekilde dosyasındaki kodu değiştirmek zorunda -

mod_security-action: 403

mod_security-mesajı:. Erişim kodu 403 ile Desen maçı "!(^application/x-www-form-urlencoded$|^multipart/form-data;)" başlığına ("Content-Type") engellendi

Ben JavaScript aracılığıyla HTTP nesnesini ve POST yöntemini kullanıyorum -

http.setRequestHeader('Content-Type','application/x-www-form-urlencoded')

Bu mod_security AÇIK muhafaza edilebilir ve henüz benim kayıt formu çalışacak yüzden kod Yukarıdaki satırda yapmak için ne gibi değişiklikler gerekiyor gibi Lütfen bana yol?

Teşekkürler ve Saygılar,

-Rupak Kharvandikar-

2 Cevap

Bu durumda yapılacak en iyi şey, bir yanlış pozitif olarak özel uyarı olduğu için tehdit etmektir. Bu mod_security Eğer WAF en uğraşırken içerik kodlama ve yanlış pozitif bir çok normal bir şey desteklemiyor unutmayın.

Sadece bir yanlış pozitif için tüm mod_security'i kurallarını devre dışı bırakılması olsa aptal. Tetiklenebilir ve "SecRuleRemoveById" devre dışı oluyor kural kimliği arayın. Kutumda i devre dışı bırakmak istediğiniz tüm kuralları yerleştirmek için ek bir yapılandırma yarattı.

modsecurity_crs_60_myignores.conf

SecRuleRemoveById 960903

SecRuleRemoveById 970903

SecRuleRemoveById 970902

Ben herhangi bir sorun olmadan Firefox'ta bir hesap oluşturmak için başardı.

etiketler