У меня есть Debian Jessie box, Apache 2.4 и mod_security по умолчанию включены с активированными базовыми правилами. Когда я пытаюсь реализовать решение Google reCAPTCHA в PHP-коде, modsecurity блокирует страницу, возвращая переменные reCAPTCHA. Как я вижу, правило защиты от SQL-инъекций modsecurity блокирует мой сайт с помощью reCAPTCHA. Есть ли простой способ сделать так, чтобы базовое правило SQL-инъекции modsecurity позволяло Google reCAPTCHA нормально работать? Могу ли я как-то исключить / внести переменную в белый список из правил modsecurity для проверки?
Соответствующая запись журнала ошибок Apache:
[Thu May 05 20:31:17.407153 2016] [:error] [pid 3604] [client 199.67.203.142] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(?i:(\\\\!\\\\=|\\\\&\\\\&|\\\\|\\\\||>>|<<|>=|<=|<>|<=>|xor|rlike
|regexp|isnull)|(?:not\\\\s+between\\\\s+0\\\\s+and)|(?:is\\\\s+null)|(like\\\\s+null)|(?:(?:^|\\\\W)in[+\\\\s]*\\\\([\\\\s\\\\d\\"]+[^()]*\\\\))|(?:xor|<>|rlike(?:\\\\s+binary)?)|(?:regexp\\\\s+binary))" at ARG
S:g-recaptcha-response. [file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "70"] [id "981319"] [rev "2"] [msg "SQL Injection Attack: SQL Operator Detected"] [
data "Matched Data: XOr found within ARGS:g-recaptcha-response: 03AHJ_VuuKzOoRV1ncHa31GhztRb7FuB6sFfWtJqRbgw71veDabEm-V1Xkm4Rfh2hsjodBH7Y_S1D0XomTniOoLr9hNKKXlcxAestey_bIW8pZUSHF9N5PGOGagrbdeliSOnCe3Ff-qRRsvrBAh
8lw19hGfOlYMwdYkONJNaiq5KQgELQQxqa9suxdKLscNLvmRBsrJaZc8NNxtZBYMgcuf7_MR0fJRdItiXFs-ttqxvnCUUCWH8bbnXdbfoFBaeuH2j-JHxpNnbTLz6NCVZHSMMFzJ_45GgYUajzeLBmn8u74qdOgIQDRRUSDc4ySnAxozESwb94_RY4o7FhpQu3ebytd2mGcmHPte-cn
MH2VSmsOLCQOVXKvytwC2w8c3JRiFCYTdpMJ0TrDSwlw5b9P4uOhjENJJRRDxRhaUnRktOb0KBJdaevwjYzFJVXVmfuTv..."] [hostname "mzhostname.com"] [uri "/test/test2_load.php"] [unique_id "VyuRdcM4N88AAA4U-PgAAAAB"]
Добавьте следующее в конфигурацию Apache после загрузки /usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf
файл:
SecRuleUpdateTargetById 981319 !ARGS:'g-recaptcha-response'
Обратите внимание, что вам может потребоваться внести этот аргумент в белый список из других правил аналогичным образом.