Problem Dateiverwaltung bei aktiviertem mod_security

Beitrag von **Dodger77** » Fr 13. Okt 2006, 10:08

Könnte man evtl. auch als Bug einordnen, aber erstmal sehe ich das als allgemeine Anregung zur Diskussion.

Bei mod_security werden ja z.B. POST- oder GET-Variablen einer Überprüfung unterzogen. Zum Teil auf das Vorkommen von Unix-Kommandos.
Will man nun in der Dateiverwaltung einen neuen Ordner erstellen, wird das über folgende URL gemacht:

main.php?area=upl&action=upl_mkdir&frame=2&appendparameters=&contenido=xyz1234567

Das gibt dann durch entsprechende Regel für mod_security evtl. einen Fehler. Mein Admin hat dafür z.B. einen hübschen 403 eingestellt. "mkdir" wird wie viele andere Unix-Kommandos bzw. Programmaufrufe auch (z.B. apt-get, emerge, lynx, links, elinks, cmd, pwd, wget) gerne geblockt. Dazu gibt es einige Empfehlungen im Netz, die "mkdir" mit aufführen.

Es würde also evtl. Sinn machen, die action anders zu bezeichnen.

Meinungen?

Beitrag von **emergence** » Fr 13. Okt 2006, 10:17

das beschränkt sich leider nicht auf die dateiverwaltung...
unter style module wird der meiste php code auch gefiltert...

eine änderung der action wird somit zwar das problem dort beheben, aber der modul bereich wird noch immer unbrauchbar sein...

Beitrag von **Dodger77** » Fr 13. Okt 2006, 10:54

emergence hat geschrieben:das beschränkt sich leider nicht auf die dateiverwaltung...
unter style module wird der meiste php code auch gefiltert...

eine änderung der action wird somit zwar das problem dort beheben, aber der modul bereich wird noch immer unbrauchbar sein...

Dort gibt es interessanterweise keinerlei Probleme. Anscheinend ist das auf meinem Server bei GET restriktiver eingestellt als bei POST.
Ich schaue mal, was ich mit meinem Admin aushandeln kann.