HeRoTurk
Özel Üye
Apache Web Sunucusu İçin Bir Güvenlik Modülü Olan Mod Security Pasif Etmek İçin .htaccess Dosyası Arkadaşlar
T
ModSecurity Public Olduğu İçim Tüm Kullanıcılar Normalde Üst Dizinlere Erişemeyecekti, Ama Siz Linux'un Konteyner Dosyası Olan .htaccess ten Modülü Kullanmak İstemiyorum Şeklinde off Ederseniz Modülü ModSecurity Sizin İçin Pasif Hale Gelir ve Siz Üst Dizinlere Çıkabilirsiniz.
Ayrıca Buda İpucu olarak Bulunsun ModSecurity'li Sunucuda SQL Injection'da Forbidden Hatası Verir GET İle Gelen Veriyi Süzer ve Anahtar Kelimeleri Ayıklar Çünkü
Bunun İçinde Mesela SELECT Yerine SE/**/LECT Yaparsak, Modül Bunu Anlayamaz Injection Yok Zanneder
MySQL'dede /**/ Otomatik Olarak Yorum Olduğu İçin Null Değere Replace Eder, SE/**/CT Yine Sorguya SELECT Olarak Girer.
http://heroturk-priv8.blogspot.com/2013/07/modsecurity-bypass.html
T
Kod:
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
Ayrıca Buda İpucu olarak Bulunsun ModSecurity'li Sunucuda SQL Injection'da Forbidden Hatası Verir GET İle Gelen Veriyi Süzer ve Anahtar Kelimeleri Ayıklar Çünkü
Bunun İçinde Mesela SELECT Yerine SE/**/LECT Yaparsak, Modül Bunu Anlayamaz Injection Yok Zanneder
MySQL'dede /**/ Otomatik Olarak Yorum Olduğu İçin Null Değere Replace Eder, SE/**/CT Yine Sorguya SELECT Olarak Girer.
http://heroturk-priv8.blogspot.com/2013/07/modsecurity-bypass.html