modsecurity 2.x대와 zeroboardXE(이하 zbXE - 또는 기타 웹프로그램)를 설치해서 사용중 error_log에 다음과 같은
(id "970902") 로그가 남는다면 httpd.conf 파일에 추가했거나 include한 rule 파일중 *id "970902" 관련rule 파일 (modsecurity_crs_50_outbound.conf)의 내용을 수정혹은 주석처리 하면 됩니다.

error_log 내용
ModSecurity: Warning. Match of "rx (?:\\b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)\\b|r(?:iff\\b|ar!B)|gif)|
B(?:%pdf|\\.ra)\\b)" against "RESPONSE_BODY" required. [id "970902"] [msg "PHP source code leakage"] [severity "WARNING"] [hostname "free4u.wo.tc"] [uri "/weblog/?mid=blog&act=linux&page=5&category=370"] [unique_id "D21t538AAAEAAD8OJg0AAAAK"]




* 변경전
id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
SecRule RESPONSE_BODY "<?(?!xml)"
        "chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',,id:'970902',severity:'4'"
SecRule RESPONSE_BODY   "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)b
|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"



* 변경후 id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
SecRule RESPONSE_BODY "<?(?!xml)"
  "chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',id:'970902',
tag:'LEAKAGE/SOURCE_CODE',severity:'4'"

SecRule RESPONSE_BODY  "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)
|varg|cws)b|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"

modsecurity core rule 1.3 이상버전에서 해결된것으로 보이나 이전 설정을 수정해서 사용하고 있거나
혹은 그대로 사용할 경우 발생할수 있습니다. 첨부파일은 core rule 1.6버전의 modsecurity_crs_50_outbound.conf입니다.

+ Recent posts