ModSecurity 1.9 と WebDAV ― 2005/11/30 19:38
ModSecurityを1.9にあげて,WebDAVにアクセスすると「予期しないエラーが発生しました。現在の操作を完了することはできません。」と表示された。アレ?!
audit_logを見ると cross site scripting attempt 向けに書いたルールが効いている。
mod_security-message: Access denied with code 403. Pattern match "<(.|\\n)+>" at POST_PAYLOAD
ネットで調べると次のルールが見付かったが,SecFilterの箇所は効いていない。ScanPOSTをOffにするのもチョット...
SecFilterScanPOST Off SecFilter "xmlns\:a=\"DAV\">" log,pass
PROPFINDで失敗しているので,下記のように設定修正した。大丈夫のようだ。
SecFilter "<(.|\n)+>" ↓ SecFilterSelective REQUEST_METHOD "!PROPFIND" chain SecFilter "<(.|\n)+>"
最近のコメント