ModSecurity 1.9 と WebDAV2005/11/30 19:38

ModSecurityを1.9にあげて,WebDAVにアクセスすると「予期しないエラーが発生しました。現在の操作を完了することはできません。」と表示された。アレ?!

audit_logを見ると cross site scripting attempt 向けに書いたルールが効いている。

mod_security-message: Access denied with code 403. Pattern match "<(.|\\n)+>" at POST_PAYLOAD

ネットで調べると次のルールが見付かったが,SecFilterの箇所は効いていない。ScanPOSTをOffにするのもチョット...

SecFilterScanPOST Off
SecFilter "xmlns\:a=\"DAV\">" log,pass

PROPFINDで失敗しているので,下記のように設定修正した。大丈夫のようだ。

SecFilter "<(.|\n)+>"
      ↓
SecFilterSelective REQUEST_METHOD "!PROPFIND" chain
SecFilter "<(.|\n)+>"

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

名前:
メールアドレス:
URL:
コメント:

トラックバック

このエントリのトラックバックURL: http://jh4xsy.asablo.jp/blog/2005/11/30/161168/tb