modsecurity unicode sql injection

웹사이트를 만들고, 한글을 post로 넘길 때, 유니코드로 넘어가게됩니다.

이 과정에서 modsecurity가 설치 되어 있는 경우 유니코드를 sql injection으로 탐지하는 경우가 있는데요.

아래와 같이 탐지 룰을 조정하면 해결 가능합니다.

기존

"(^[\"'`´’‘;]+|[\"'`´’‘;]+$)"

변경

"(^(?:(?&QC)|;)+|(?:(?&QC)|;)+$)(?(DEFINE)(?'QC'(?:[\"'`]|\xC2?\xB4|\xE2\x80(?:\x99|\0x98))))"

 

출처 : https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/21

아파치 Directory Listing 차단

아파치 Directory Listing 차단을 아래와 같이 하였으나 정상적으로 동작하지 않음.


 


 


httpd.conf


– Options Indexes 제거


 


 


위와 같이 설정후에도 Directory Listing될 경우 아래와 같이 옵션을 주면 됩니다.


 


 


httpd.conf


Options +Includes -Indexes   로 설정하니 정상적으로 Directory Listing 차단됨.