Dokuwiki y mod_security

17.dic 2007 Envía un trackback

He notado un comportamiento extraño en un DokuWiki que tengo en WebHostingBuzz, cada vez que intentaba enviar una petición con la cadena 'perl ' -perl[espacio]- me devolvía un 404 y la información se perdía por el camino. Consultando un poco más pude comprobar que no era cuestión de DokuWiki: 

$ cat dw.txt
perl+hi
$ cat dw.txt | netcat dominiodebuzz.com 80
HTTP/1.1 403 Forbidden
Date: Fri, 14 Dec 2007 10:42:24 GMT
Server: Apache/1.3.39 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8.30 OpenSSL/0.9.8b PHP-CGI/0.1b
Keep-Alive: timeout=15, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

188
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>403 Forbidden</TITLE>
</HEAD><BODY>
<H1>Forbidden</H1>
You don't have permission to access /doku.php
on this server.<P>
<P>Additionally, a 404 Not Found
error was encountered while trying to use an ErrorDocument to handle the request.
<HR>
<ADDRESS>Apache/1.3.39 Server at dominiodebuzz.com Port 80</ADDRESS>
</BODY></HTML>
Así que para poder saltar esas restricciones de mod_security -o lo que fuere- he optado por las siguientes directivas .htaccess: 
SecFilterEngine Off
SecFilterScanPOST Off
Hasta aquí mis problemas con este hosting -de momento-.
mod_security webhostingbuzz

Comentarios
Gravatar lazaro@19.12.2007, 'Re: Dokuwiki y mod_security'

Te sorprenderia saber que el 98% de los ataques automatizados usan cadenas de este tipo para ejecutar el tipico zombie-bot de irc y lanzar otro scanner de vulnerabilidades web o enviar SPAM. Entiendo que se haya filtrado en cierto modo el uso de la cadena "perl"+[espacio], aunque en mucho de los casos es mejor filtrar el UserAgent del tipo *lwp *perl etc, etc. Cuando tienes un servidor con unos 200 Joomlas/Mambo.. no te quiero ni contar que es mejor evitar hasta los malos User-Agent :).
Eso si :P he visto algun que otro "bestia" con un listado de reglas inmensa pensando que es mejor en vez de optimizar un poco las expresiones regulares y usar unas reglas en relación con el contenido :P.
En fín, yo que tu desactivaba ciertas funciones de filtrado que afecten a tu DokuWiki pero otras siempre es mejor dejarlas para evitar los tipicos bugs con scanners automatizados.
Un saludo!


Escribe tu comentario
 
 
Guardar datos
Escribe tu comentario:
captcha


Intenta que tu comentario sea interesante y con información relevante al tema de la entrada. BBCodes disponibles: [url=http://direccion]texto[/url], negrita: [b]texto[/b], itálica: [i]texto[/i], subrayada: [u]texto[/u]. Para mencionar o citar a alguien (quote): [cita]texto[/cita]