$GET/$POST 中的 "+have+" 导致服务器返回 403 Forbidden

Question

我的一个客户有一个 PHP 脚本，一直莫名其妙地崩溃。经过数小时的研究，我确定如果您向任何 PHP 脚本发送包含“have t”的变量（通过 GET 或 POST），或者为 URL“+have+t”转义，它会使脚本崩溃并返回“403禁止错误”。为了测试它，我制作了一个包含全部内容的示例脚本：

<?php echo "works";

我把它（暂时）放在这里：http://primecarerefer.com/test/test.php

现在，如果您尝试向它发送一些数据，例如：http://primecarerefer.com/test/test.php?x=+having+x

失败了。最后一个字母可以是任何字母，它仍然会崩溃，但更改任何其他字母会使脚本加载正常。什么会导致这种情况以及如何解决？如果有人想尝试不同的组合，该链接现在可用。

PS - 我发现如果我连续多次收到 403 错误，服务器会阻止我 15 分钟。

Answer 1

我在运行 apache mod_security 的网络服务器上遇到了此类问题，但它的配置非常糟糕，实际上 mod_security 的默认正则表达式规则非常糟糕，使用有效的 POST 或 GET 数据很容易出错。

需要明确的是，这与 PHP 或 HTML 无关，它是关于通过 mod_security 的 POST 和 GET 数据，几乎可以肯定，而 mod_security 拒绝请求，因为它认为这是一次 sql 注入尝试。

您可以根据服务器访问权限自己编辑规则，但我不相信您可以做任何事情，好吧，如果是 mod_security，我知道您无法通过 PHP 做任何事情来解决这个问题。

/etc/httpd/conf.d/mod_security.conf（旧路径，已经改了，但是给出了思路）

默认规则示例：

SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"

这些是规则示例 https://www.howtoforge.com/apache_mod_security

他们在这里触发了过滤器：

http://primecarerefer.com/test/test.php?x=%20%22%20%20select%20from%22

请注意，这篇文章已经很老了，现在的规则实际上已经完全不同了，但是坏的正则表达式仍然存在，即：select[任意数量的字符，无论删除多远，或关闭]from 都会绊倒它，任何符合这些松散规则的 sql 会出错。

但是由于编辑这些默认文件需要访问它们，并且还假设它们不会在某些时候在 apache mod_security 的升级中被更改，所以这不是解决我发现的问题的好方法，转向更好的，更专业的设置，主机，为我们解决了这些问题。但是，如果您与托管支持人员交谈以了解问题的原因，这确实会有所帮助。

事实上，“拥有”并非无关紧要，它是 POST/GET 上运行的安全过滤器中正则表达式规则中 sql 注入过滤器的一部分。当管理员编辑 CMS 页面时，我们经常遇到这种情况，这总是会触发一些 sql 过滤器，因为任何人类单词字符串都会包含诸如“select.*from”或“insert.*into”等内容。

这个 mod_security 问题曾经让我发疯，试图调试为什么后端编辑表单更新会挂起，直到我终于意识到 mod_security 文件本身中的通用正则表达式模式做得不好。

从某种意义上说，这不是一个答案，因为唯一的解决办法是进入服务器并编辑规则文件，这很容易，或者禁用 mod_security，或者转移到不使用的网络托管服务商那些糟糕的通用默认值。