ModSecurity mise en place de restrictions sur les règles de restrictions ^^

Bonsoir …

Bé voilà, si vous avez installé la dernière version de ModSecurity (>2.5) avec les generic_attack en filtre, vous avez sûrement remarqué que phpMyAdmin ne fonctionne plus (hé oui, ça fait du SQL Injection :p), mais les blogs peuvent aussi ne plus fonctionner (XSS, voir Command/File Injection si vous tentez de poster du code sur votre blog), ce n’est que dernièrement, que j’ai remarqué ces erreurs, sans trop y faire gaffe (à part que là, ben ça remplissait les logs avec une IP que je connaissait très bien … la mienne, le méchant pirate, je vais porter plainte sur 127.0.0.1 ^^, je suis sûr que la procédure judiciaire passerait 😉).

Donc pour remédier à ce problème, les gars qui ont dév la bête sont intelligent, ils avaient prévu le coup avec :

SecRuleRemoveById et SecRuleRemoveByMsg

Ce qui donnent donc pour PhpMyAdmin :

<Location /phpmyadmin/> 
     SecRuleRemoveByMsg "Blind SQL Injection Attack"
     SecRuleRemoveByMsg "SQL Injection Attack"
</Location>

et pour WordPress (partie administration)

<Location /wp-admin/> 
     SecRuleRemoveByMsg "Blind SQL Injection Attack"
     SecRuleRemoveByMsg "SQL Injection Attack"
     SecRuleRemoveByMsg "Cross-site Scripting (XSS) Attack"
     SecRuleRemoveByMsg "Remote File Access Attempt"
     SecRuleRemoveByMsg "System Command Injection"
</Location>

Pour la partie commentaires … à voir suivant la confiance que vous avez en vos visiteurs ^^ (tentez pas de poster des commentaires sur mon blog avec des commandes systèmes … vous seriez surpris sur mon niveau de confiance 😉 … y’a quand même des gars qu’ont tenter de brute-forcer mon phpmyadmin, bande de naab!!!).

A mettre dans l’un de vos fichiers de conf d’apache, et vous ne tomberez plus sur les erreurs 501 (protocole non implémenté) que cela générait.

Voilà … Bonne nuit

Une réflexion sur « ModSecurity mise en place de restrictions sur les règles de restrictions ^^ »

Les commentaires sont fermés.