Re: Message logs : HTTP Response 302

[andre_debian@numericable.fr]

On Monday 13 January 2014 19:28:29 Frédéric Micout wrote:

> >>>> /modules/messages/index.php?module=../../../../../../etc/passwd%00
> >>>> HTTP Response 302
> >>
> >> J'ai le même genre de choses en ce moment sur mon serveur apache2.
> >> La racine de mes sites est bien paramétrée donc pas de soucis
> >> normalement.
> Mon DocumentRoot est paramétré individuellement pour chacun de mes
> virtualHost (par forcement dans /var/www). Il me semble que ça suffit.
> Il faut d'abord l'installer :
> apt-get install libapache2-mod-evasive

Ok, fait, merci.

J'ai installé aussi OWASP (Open Web Application Security Project),
complément de "mod-security".

Mais plusieurs modules dans "/etc/modsecurity/activated_rules/"
ne fonctionnent pas, tel par exemple et d'autres :
"modsecurity_crs_21_protocol_anomalies.conf"

Quand je relance Apache2 je reçois un message d'erreur de variable
sur un de ces fichiers.

Malgré recherches sous "Gogole est ton ami", pas d'explications trouvées.

Dommage, car OWASP semble protéger de pas mal d'attaques :
hijack, violations, injections ... etc ...

André