modsecurity 2.x대와 zeroboardXE(이하 zbXE - 또는 기타 웹프로그램)를 설치해서 사용중 error_log에 다음과 같은
(id "970902") 로그가 남는다면 httpd.conf 파일에 추가했거나 include한 rule 파일중 *id "970902" 관련rule 파일 (modsecurity_crs_50_outbound.conf)의 내용을 수정혹은 주석처리 하면 됩니다.
error_log 내용
ModSecurity: Warning. Match of "rx (?:\\b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)\\b|r(?:iff\\b|ar!B)|gif)|
B(?:%pdf|\\.ra)\\b)" against "RESPONSE_BODY" required. [id "970902"] [msg "PHP source code leakage"] [severity "WARNING"] [hostname "free4u.wo.tc"] [uri "/weblog/?mid=blog&act=linux&page=5&category=370"] [unique_id "D21t538AAAEAAD8OJg0AAAAK"]
* 변경전 id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
* 변경후 id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
modsecurity core rule 1.3 이상버전에서 해결된것으로 보이나 이전 설정을 수정해서 사용하고 있거나
혹은 그대로 사용할 경우 발생할수 있습니다. 첨부파일은 core rule 1.6버전의 modsecurity_crs_50_outbound.conf입니다.
(id "970902") 로그가 남는다면 httpd.conf 파일에 추가했거나 include한 rule 파일중 *id "970902" 관련rule 파일 (modsecurity_crs_50_outbound.conf)의 내용을 수정혹은 주석처리 하면 됩니다.
error_log 내용
ModSecurity: Warning. Match of "rx (?:\\b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)\\b|r(?:iff\\b|ar!B)|gif)|
B(?:%pdf|\\.ra)\\b)" against "RESPONSE_BODY" required. [id "970902"] [msg "PHP source code leakage"] [severity "WARNING"] [hostname "free4u.wo.tc"] [uri "/weblog/?mid=blog&act=linux&page=5&category=370"] [unique_id "D21t538AAAEAAD8OJg0AAAAK"]
* 변경전 id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
SecRule RESPONSE_BODY "<?(?!xml)"
"chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',,id:'970902',severity:'4'"
SecRule RESPONSE_BODY "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)b
|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"
"chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',,id:'970902',severity:'4'"
SecRule RESPONSE_BODY "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)|varg|cws)b
|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"
* 변경후 id "970902" 관련 설정 modsecurity_crs_50_outbound.conf
SecRule RESPONSE_BODY "<?(?!xml)"
"chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',id:'970902',
tag:'LEAKAGE/SOURCE_CODE',severity:'4'"
SecRule RESPONSE_BODY "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)
|varg|cws)b|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"
"chain,ctl:auditLogParts=+E,log,auditlog,msg:'PHP source code leakage',id:'970902',
tag:'LEAKAGE/SOURCE_CODE',severity:'4'"
SecRule RESPONSE_BODY "!(?:b(?:(?:i(?:nterplay|hdr|d3)|m(?:ovi|thd)|(?:ex|jf)if|f(?:lv|ws)
|varg|cws)b|r(?:iffb|ar!B)|gif)|B(?:%pdf|.ra)b)"
modsecurity core rule 1.3 이상버전에서 해결된것으로 보이나 이전 설정을 수정해서 사용하고 있거나
혹은 그대로 사용할 경우 발생할수 있습니다. 첨부파일은 core rule 1.6버전의 modsecurity_crs_50_outbound.conf입니다.
'Modsecurity' 카테고리의 다른 글
| modsecurity - SecRuleRemoveById (0) | 2008.07.09 |
|---|---|
| modsecurity & clamav를 이용한 업로드파일 검사 (11) | 2008.05.26 |
| GotRoot Rules for ModSecurity (0) | 2008.04.28 |
| ModSecurity 2.5 Released (0) | 2008.04.01 |
| modsecurity2.x 에서 rbl (realtime blacklist) 사용하기 (0) | 2008.03.21 |