use*_*081 6 php apache security post filtering
经过几个小时的搜索错误后,我发现了一个可重复的测试.它使用一种简单的形式:
<form name="test" method="POST" action="test.php">
<textarea name="content"></textarea>
<input name="submit" type="submit" value="send"/>
</form>
完全填写textarea substring((SELECT并按下'send'按钮后,服务器返回一般错误:Connection with the server was reset while downloading
我查看了http error_log,但没有报告.
使用:
Linux 2.6.32-220.23.1.el6.x86_64
Build Date Jul 3 2012
Server API Apache 2.0 Handler
Apache Version Apache/2.2.15 (CentOS)
Apache API Version 20051115
PHP Version 5.3.3
test.php没有PHP代码,只有表单.如果我将文件重命名为test.html并更改action ="test.html",则错误保持不变.
在FF 15和Chrome 21上测试,(ERR_CONNECTION_RESET)
Firebug:POST test.php Aborted 192.168.1.1 0 192.168.1.1:80
apache是否有可能过滤我的POST数据?我注意到substring((在几个apache漏洞中提到了SELECT.如何禁用这种过滤器?
我在模块中看不到任何mod_security.
确保
echo '<pre>';
var_dump(apache_get_modules());
不列出 mod_security 或其他安全相关模块。