مرجع پارسی MyBB
mod_security + امنیت سایت - نسخه‌ی قابل چاپ

+- مرجع پارسی MyBB (https://community.mybbiran.com)
+-- انجمن: آرشیو (https://community.mybbiran.com/forum-128.html)
+--- انجمن: آرشیو انجمن های قدیمی (https://community.mybbiran.com/forum-129.html)
+---- انجمن: مای بی بی نسخه 1.6 (https://community.mybbiran.com/forum-83.html)
+----- انجمن: آموزش ها (https://community.mybbiran.com/forum-84.html)
+------ انجمن: امنیت (https://community.mybbiran.com/forum-111.html)
+------ موضوع: mod_security + امنیت سایت (/thread-6405.html)

mod_security + امنیت سایت - mehotkhan - ۱۳۹۰/۵/۱۱

احتمالا خیلی ها در مورد این اسم چیزی فهمیده باشن ، یه توضیح کوچیک میدم برا اونایی که آشنایی ندارند
اگر سرورتون رو با آپاچی راه اندازی کردید ، اغلب متخصصین پیشنهاد میکنن که این مد رو رو سرور نصب کنید ، کار این مد اینه که ورودی ها رو چک میکنه ، و طبق قوانینی که از قبل براش تعیین شده ، عمل فیلتر کردن برای ورود به آپاچی رو انجام میده ، با این مد میشه در مقابل حملات تزریق کد به پایگاه داده جلوگیری کرد ، باگ های cms ها رو بدون آپدیت رفع کرد ، و خیلی چیزای دیگه ،
نقل‌قول: mod security یک برنامه فایروال وب است (WAF ) که برای وبسرور آپاچی آنرا توسعه داده اند. این مد توسط Trustwave's SpiderLabs توسعه داده شده است. رویدادی قوی مبتنی بر زبان برنامه نویسی که دربرابر محدوده ای از حملات محافظت میکند و اجاره مانیتورینگ HTTP Traffic را به ادمین سرور میدهد.

در حال حاظر این مد بیش از 10.000 توسعه دهنده در سرتاسر جهان دارد.
اگه به فایل .htaccess یه نگاه بندازید متوجه میشید که mybb این مد رو غیر فعال کرده است ، دلیل دقیقش رو هنوز نفهمیدم ، احتمالا مشکلی پیش می اومده ، من غیر فعالش کردم ، چون بودن این مد خیلی برام مهمتر هست ، مشکلی هم نداشتم تا الان ، دوستان هم اگه دوست داشتین غیر فعالش کنید ،

برا غیر فعال کردنش ، کد های زیر

کد php:
<IfModule mod_security.c>
    # Turn off mod_security filtering.
    SecFilterEngine Off

    # The below probably isn't needed, but better safe than sorry.
    SecFilterScanPOST Off
</IfModule

پیدا کنید و به
کد php:
#<IfModule mod_security.c>
    # Turn off mod_security filtering.
    #SecFilterEngine Off

    # The below probably isn't needed, but better safe than sorry.
    #SecFilterScanPOST Off
#</IfModule> 
تبدیل یا کلا حذفشون کنید Big Grin

سوالی بود در خدمتم Smile


RE: mod_security + امنیت سایت - mehotkhan - ۱۳۹۰/۵/۱۴

توی توضیحات htaccass دلیل قرار دادن این عمل رو مشکل به MediaTemple نوشته ، کسی میدونه چی هست این مدیا تمپل؟

کد php:
If mod_security is enabledattempt to disable it.
# - Note, this will work on the majority of hosts but on
#   MediaTemple, it is known to cause random Internal Server
#   errors. For MediaTemple, please remove the block below 


RE: mod_security + امنیت سایت - BB Baz - ۱۳۹۰/۹/۲۴

سلام
بابت راهنمایی ممنون
حالا به نظر شما فعال باشه بهتره یا غیر فعال؟؟

RE: mod_security + امنیت سایت - mehotkhan - ۱۳۹۰/۱۱/۲۰

غیر فعالش کنید ، مشکلی نیستWink

RE: mod_security + امنیت سایت - 123 - ۱۳۹۰/۱۱/۲۱

داداشم خودکار غیر فعاله روش فعال کردنشو بگو

RE: mod_security + امنیت سایت - HOssE!N-B - ۱۳۹۰/۱۱/۲۱

به نظرم فقط 2 چیز تغییر کرده
کد php:
#<IfModule mod_security.c>
    # Turn off mod_security filtering.
    #SecFilterEngine Off

    # The below probably isn't needed, but better safe than sorry.
    #SecFilterScanPOST Off
#</IfModule> 
2 علامت # در خط سوم و پنجم که اگر آنرا حذف کنید احتالا فعال میشه

البته من طبق آموزش دوستمون به صورت برعکس گفتم Wink

موفق باشید

RE: mod_security + امنیت سایت - 123 - ۱۳۹۰/۱۱/۲۱

فک نکنم اینطوری فعال بشه
کلا این کا ر خیلی مهمه چون اگر فعال باشه هکر برای رسیدن به هدفش و روت شدن و.... باید بایپیس کنه

RE: mod_security + امنیت سایت - mehotkhan - ۱۳۹۰/۱۱/۲۷

دوست عزیز ، در حالت عالی اگر روی سرور چنین سیستمی نصب باشد ، فعال است ، شما فقط می توانید با کد هایی که در بالا آمده ، چنید قابلیتی را غیر فعال کنید ، اگر کد ها فعال باشند ، مود سکریوتری غیر فعال میشه و اگر هم ، فعال نباشند ، پس مد فعال هست Blush