我有一个PHP脚本,处理来自支付处理器的回调。
如果查询字符串'result'包含两个破折号后面跟着一个破折号,我们得到一个403,例如
/index.php?result=A--B- (returns 403)
/index.php?result=A-B- (is OK)
/index.php?result=A-B-- (is OK)
/index.php?result=A--B (is OK)
/index.php?result=A---B (returns 403)
/index.php?result=A-B-C- (is OK)
在.htaccess和apache config中没有重写规则。
加载的模块如下:
core prefork http_core mod_so mod_auth_basic
mod_auth_digest mod_authn_file mod_authn_alias
mod_authn_anon mod_authn_dbm mod_authn_default
mod_authz_host mod_authz_user mod_authz_owner
mod_authz_groupfile
mod_authz_dbm mod_authz_default util_ldap
mod_authnz_ldap mod_include mod_log_config mod_logio
mod_env mod_ext_filter mod_mime_magic mod_expires
mod_deflate mod_headers mod_usertrack mod_setenvif
mod_mime mod_dav mod_status mod_autoindex mod_info
mod_dav_fs mod_vhost_alias mod_negotiation
mod_dir mod_actions mod_speling mod_userdir mod_alias
mod_rewrite mod_cache mod_suexec mod_disk_cache
mod_file_cache mod_mem_cache mod_cgi mod_version
mod_security2 mod_unique_id mod_php5 mod_ssl
当然已经被mod_security屏蔽了。
在SQL中,"——"通常是行注释的开始标志。有时程序员直接使用用户输入(如$_GET[] array)来构建SQL查询,这会导致一个称为SQL注入的漏洞。
所以mod_security将在cookies, querystring和张贴表单中检查这些字符串。一旦发现非法字符串,将显示403 Forbidden错误。
如果你确实需要 "——"在你的querystring,你确信你已经处理querystring正确(或者你不实际执行SQL查询),你可以从mod_security删除此规则。
你可以在
中找到规则MOD_SRCURITY_INSTALLATION_PATH/base_rules modsecurity_crs_41_sql_injection_attacks.conf
MOD_SRCURITY_INSTALLATION_PATH取决于您的服务器环境。
你可以在
附近找到这样的规则#
# -=[ Detect SQL Comment Sequences ]=-
#
和
#
# -=[ PHPIDS - Converted SQLI Filters ]=-
#
# https://dev.itratos.de/projects/php-ids/repository/raw/trunk/lib/IDS/default_filter.xml
#
查找并修改包含字符串--的规则。因为它们都是用RegExp编写的,所以你应该先学习它。