posso desabilitar a regra do ModSecurity via .htaccess?

1

No novo servidor do meu site, um centOS, quando tento enviar uma imagem via PHP e o nome do arquivo contém um caractere especial, como "my'file.jpg", recebo uma página proibida e não consigo até tentar lidar com o erro via PHP

nos arquivos de log que eu encontrar

ModSecurity: Access denied with code 403 (phase 2). Match of "eq 0" against "MULTIPART_STRICT_ERROR" required. [file "/etc/httpd/modsec/00_asl_zz_strict.conf"] [line "53"] [id "330793"] [rev "2"] [msg "Multipart request body failed strict validation: PE 0, BQ 0, BW 0, DB 0, DA 0, HF 0, LF 0, SM , IQ 1, IH 0, IP 0, FL 0"] [severity "CRITICAL"]

antes de entrar em contato com a equipe de suporte ao servidor, gostaria de saber se posso desabilitar essa regra para alguns diretórios via .htaccess ou através do painel Plesk 12

Eu tentei adicionar isso em .htaccess na pasta raiz, encontrado a partir de uma pergunta semelhante, mas eu recebo uma página de erro sever interna

<Directory /var/www/vhosts/mydomain.com/httpdocs/test-file-upl>
 <IfModule security2_module>
    SecRuleRemoveById 330793        
 </IfModule>
</Directory>

nos registros que encontrei

[core:alert] /var/www/vhosts/mydomain.com/httpdocs/.htaccess: <Directory not allowed here

o erro parece aparecer mesmo se eu excluir a parte do security2_module do IfModule

    
por al404IT 05.04.2017 / 11:40

1 resposta

2

Você não pode usar as diretivas Directory em .htaccess files.

O escopo das configurações em .htaccess arquivos já está definido pelo diretório em que o arquivo .htaccess está localizado.

Em outras palavras, as configurações em /var/www/vhosts/mydomain.com/httpdocs/.htaccess são válidas para o diretório /var/www/vhosts/mydomain.com/httpdocs/ e todos os seus subdiretórios.

Se você quiser aplicar as configurações em /var/www/vhosts/mydomain.com/httpdocs/test-file-upl, precisará colocar suas configurações em um arquivo /var/www/vhosts/mydomain.com/httpdocs/test-file-upl/.htaccess , que será:

<IfModule security2_module>
    SecRuleRemoveById 330793        
</IfModule>

(Ou melhor ainda, não confie nos arquivos .htaccess e inclua suas configurações nos arquivos de configuração do apache.)

    
por 05.04.2017 / 12:22