mod security تنظیمات پیش فرض

[tack]

با سلام در قسمت مود سکوریتی الان رولی وارد نشده اما یه Default Configuration که یه سری از این رول ها در اون هست :

# Deprecated due to security issues so it should be off: ModSecurity Blog: Transformation Caching Unstable, Fixed, But Deprecated
SecCacheTransformations Off

# Check Content-Length and reject all non numeric ones
SecRule REQUEST_HEADERS:Content-Length "!^\d+$" "deny,log,auditlog,msg:'Content-Length HTTP header is not numeric', severity:'2',id:'1234123444'"

# Do not accept GET or HEAD requests with bodies
SecRule REQUEST_METHOD "^(?:GET|HEAD)$" "chain,phase:2,t:none,deny,log,auditlog,status:400 ,msg:'GET or HEAD requests with bodies', severity:'2',id:'1234123443',tag:'PROTOCOL_VIOLATI ON/EVASION'"
SecRule REQUEST_HEADERS:Content-Length "!^0?$" t:none

# Require Content-Length to be provided with every POST request.
SecRule REQUEST_METHOD "^POST$" "chain,phase:2,t:none,deny,log,auditlog,status:400 ,msg:'POST request must have a Content-Length header',id:'1234123442',tag:'PROTOCOL_VIOLATION/EVASION',severity:'4'"
SecRule &REQUEST_HEADERS:Content-Length "@eq 0" t:none

.... .... .... ....

راهنمایی بفرمایید به صورت Default Configuration یا No Configuration

ممنون

[sadeght]

با سلام در قسمت مود سکوریتی الان رولی وارد نشده اما یه Default Configuration که یه سری از این رول ها در اون هست :

# Deprecated due to security issues so it should be off: ModSecurity Blog: Transformation Caching Unstable, Fixed, But Deprecated
SecCacheTransformations Off

# Check Content-Length and reject all non numeric ones
SecRule REQUEST_HEADERS:Content-Length "!^\d+$" "deny,log,auditlog,msg:'Content-Length HTTP header is not numeric', severity:'2',id:'1234123444'"

# Do not accept GET or HEAD requests with bodies
SecRule REQUEST_METHOD "^(?:GET|HEAD)$" "chain,phase:2,t:none,deny,log,auditlog,status:400 ,msg:'GET or HEAD requests with bodies', severity:'2',id:'1234123443',tag:'PROTOCOL_VIOLATI ON/EVASION'"
SecRule REQUEST_HEADERS:Content-Length "!^0?$" t:none

# Require Content-Length to be provided with every POST request.
SecRule REQUEST_METHOD "^POST$" "chain,phase:2,t:none,deny,log,auditlog,status:400 ,msg:'POST request must have a Content-Length header',id:'1234123442',tag:'PROTOCOL_VIOLATION/EVASION',severity:'4'"
SecRule &REQUEST_HEADERS:Content-Length "@eq 0" t:none

.... .... .... ....

راهنمایی بفرمایید به صورت Default Configuration یا No Configuration

ممنون

شما به صورت Default Configuration تمام رول های پیش فرضی که دارد اضافه و سپس ذخیره نمایید.

[tack]

خب این تنظیمات اگر صورت بگیره روی سایت ها تاثیر نمیذاره ؟ ( جوملایی کل سایت ها ) بودن یا نبودنش خیلی حائز اهمیته ؟

[sodahost]

در مورد گزینه پیش فرض خوب مشکلی نیست ولی بعضی از سایتها که از قسمت هایی استفاده می کنند که دارای احتمال بروز مشکل هستند ) SQL INJECTION ) اونها رو غیر فعال می کنه البته خودش نشون میده در کدام قسمت مشکل هست ،
فقط یه نکته هست من خودم دنبال یک Role می گردم برای غیر فعال کردن Shell های PHP از دوستان کسی این رولها رو نداره ؟/

[sadeght]

خب این تنظیمات اگر صورت بگیره روی سایت ها تاثیر نمیذاره ؟ ( جوملایی کل سایت ها ) بودن یا نبودنش خیلی حائز اهمیته ؟

خیر مشکلی ایجاد نمی کند.