web-dev-qa-db-fra.com

ModSecurity renvoie 403 interdit dans le gestionnaire d'articles d'administrateur

Je reçois des messages 403 interdits dans le panneau d'administration Joomla 3.6.5 lorsque je (en tant que super utilisateur) tente de:

  1. Sélectionnez n'importe quelle page de 2 à la fin
  2. Changer les articles par page à partir de la valeur par défaut 20
  3. Rechercher un article en utilisant le champ de recherche par mot clé
  4. Filtrer les articles par catégorie d'article

Si je désactive ModSecurity dans cPanel, je n’ai pas ce problème, mais mes fournisseurs d’hébergement ne recommandent pas de désactiver ModSecurity. La règle déclenchée est la suivante:

Message: Accès refusé avec le code 403 (phase 2). Le test 'ARGS: view | ARGS: tmpl | ARGS: layout' against '! (^ [0-9a-z -:] + $ | ^ $)' est vrai. [*** [id "390606"] [msg "Règles WAF Atomicorp.com - Correctif virtuel Just in Time: injection Joomla ARG"] [gravité "CRITICAL"] [MatchedString "filter [recherche] ="]

Je n'ai aucun accès à ModSecurity autre que l'activer ou le désactiver dans cPanel.

La chose étrange est que cela se produit sur deux sites Web, en utilisant le même modèle, sur mon compte revendeur, mais je ne reçois pas ces problèmes sur le site Web du compte revendeur lui-même ou dans l'un de ses sous-domaines. Mais mon hébergeur me dit que toutes les règles de ModSecurity sont les mêmes.

Ils disent aussi "Le problème est que les installations de Joomla ont trébuché sur les règles Mod_security en ce qui concerne les injections d'arguments, etc. C'est à cause de la façon dont Joomla est programmé et les règles Mod_Security disent que ce n'est pas un moyen sûr de le faire"

Nous avons tourné en rond, alors je vous écris ici dans l'espoir que quelqu'un d'autre ait eu ce problème et trouvé une solution.

joomla-3.xadministratorsecurityarticle-manager
3
Gillian Steedman

Je ne pense pas que ce problème se pose pour tout le monde. Je pense que les mots-clés de recherche que vous utilisez sont le problème - ou peut-être quelque chose de plus spécifique à votre (vos) site (s) Web (peut-être un plugin commun?). J'ai essayé le modèle ci-dessus sur 3 sites différents sur 3 serveurs différents, tous exécutant ModSecurity, mais la règle (règle n ° 390606) n'a pas été déclenchée.

Cela dit, le seul moyen d’éliminer le problème est d’inscrire la règle dans la liste blanche de la liste whitelist.conf file (voir here ) - mais je doute que la société d’hébergement satisfasse cette demande, car elle pensera (à juste titre) que cette liste blanche aura un impact négatif sur la sécurité de leurs serveurs. Vous pouvez toujours essayer cependant - mais - pour être honnête, je ne resterais pas chez un hôte qui accepte une telle demande.

ModSecurity devient de plus en plus agressif, et le meilleur moyen de gérer ses fausses alarmes est de disposer de votre propre VPS. Vous pourrez ensuite ajouter ces règles à la liste blanche.

1
itoctopus