Discussion :

[sbadecoder]

J'avais un code qui fonctionnait bien en appelant un fichier php de mon site pour uploader un fichier.
Depuis quelques temps, cela ne marche pas car je pense que mon hébergeur à ajouter le ModSecurity.

J'obtiens cela en log sur mon site :

ModSecurity: Access denied with code 406 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS_NAMES. [file "remote server"] [line "-1"] [id "600004"] [msg "Malware.Expert - Unauthenticated upload"]

Et voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
  HTTP := TIdHTTP.Create;
  HTTP.Request.UserAgent := 'Mozilla/5.0 (compatible;MyApp)';
  Stream := TStringStream.Create;
  Params := TIdMultipartFormDataStream.Create;
  Params.AddFile('toto', Fn, 'application/octet-stream');  // MIME
  try
    HTTP.Post(Website+'/support/upload.php', Params, Stream);  // là, cela génére un code erreur 406
    result := true;
  except
    on E: Exception do
    begin
      Memo.Lines.Insert(0, 'ERROR: (P) ' + E.Message);
    end;
  end;
  Params.Free;
  Stream.Clear;
  Stream.Free;
  HTTP.Free;

[ShaiLeTroll]

Si vous le pouvez passer plutôt par un FTP avec Login\Password si c'est une application d'administration
Si c'est une application installée en clientèle, faudrait vous renseigner si cela supporte une Basic Auth ou une Bearer Auth a ajouter en entête de la requête HTTP soit via TIdHTTP.OnAuthorization
Il faudrait aussi respecter les normes de nommage de fichier défini par votre hébergeur, vous avez un travail de recherche en amont que les membres du forum ne pourront pas deviner si vous ne vérifiez pas vous mêmes les configurations de vos serveurs.

Faudra aussi songer au HTTPS sur le serveur et TIdSSLIOHandlerSocketOpenSSL pour le client

[sbadecoder]

1) C'est bien installé en "clientèle" dans le cas d'une Basic Auth ou d'une Bearer Auth que devrais-je ajouter ?
2) Et faudra-t-il fournir un login/mdp aussi ?
3) Pour ce qui est du SSL, oui néanmoins le fichier uploadé est crypté en amont de l'upload.
Merci.

[pprem]

des fois ça déconne juste parce qu'il n'y a pas de USER_AGENT envoyé, peut-être que ça suffirait d'en mettre un dans les entêtes ?

[sbadecoder]

oui, c'est ce que j'avais lu et il y en a un dans mon code, est ce suffisant ?

[ShaiLeTroll]

1) C'est bien installé en "clientèle" dans le cas d'une Basic Auth ou d'une Bearer Auth que devrais-je ajouter ?
2) Et faudra-t-il fournir un login/mdp aussi ?

la réponse 2) aura la réponse via la réponse 1)
Il vous faut voir les causes de l'erreur, que signifie exactement "Unauthenticated"
Voir aussi REQUEST_HEADERS_NAMES car mêmes les entêtes peuvent faire parti d'une règle, USER_AGENT n'étant qu'un seul des headers parmi d'autres.
Vous devez demander à l'hébergeur les règles définies.

3)Pour ce qui est du SSL, oui néanmoins le fichier uploadé est crypté en amont de l'upload.

le HTTPS négocie la crypto avant l'envoie de donnée, donc si je me trompe pas avant l'envoie du header
Vous pouvez crypter de votre côté mais pour que cela soit efficace, cela doit être fait avec une clé asymétrique, la clef publique distribuée à la clientèle, pour chiffrer, l'autre, la clef privée, pour déchiffrer.
Si vous utilisez un chiffrage maison genre XOR, Code César, Transcodage divers ou même un simple AES, dès que l'on a accès à la clé symétrique, c'est comme si il n'y avait aucune sécurité.

[sbadecoder]

Demande effectuée auprès de l'hébergeur.
Pour mon cryptage, il est en double couche de type AES / RSA.

[ShaiLeTroll]

Lorsque vous désignez " double couche ", je suppose qu'il s'agit d'un chiffrage AES du fichier pour la confidentialité et l'adjonction d'une signature SHA-* via RSA pour l'authenticité
L'approche idéal pour combiner sécurité tout en conservant des performances.

En espérant que votre hébergeur sera au niveau pour vous accompagnez, surtout si celui-ci est payant.

[sbadecoder]

Première réponse de l'hébergeur (payant), désactiver le ModSecurity.
J'attends une autre réponse avec conservation du ModSecurity.

[Paul TOTH]

d'après ce que je vois, il faudrait consulter le fichier conf de modSecure

https://malware.expert/tutorial/writ...ecurity-rules/

il doit contenir une règle du type

SecRule REQUEST_LINE|REQUEST_HEADERS|REQUEST_HEADERS_NAMES "@contains () {" "id:420008,phase:2,t:none,t:lowercase,deny,status:500,log,msg:'Malware expert - user-agent: Bash ENV Variable Injection Attack'"

qui donnerait la raison exacte du refus et ce qu'il faut faire pour que la requête soit autorisée

[sbadecoder]

Réponse 2
La règle que vous visualisez est la suivante:

La règle vérifie que :
- des cookies sont présents
- un header "authorization" est présent
- un header "referer" est présent

Si aucune des 3 conditions matche, alors cela est bloqué.

[Paul TOTH]

Réponse 2
La règle que vous visualisez est la suivante:

La règle vérifie que :
- des cookies sont présents
- un header "authorization" est présent
- un header "referer" est présent

Si aucune des 3 conditions matche, alors cela est bloqué.

il te manque probablement le referer, c'est supposé être l'URL d'où tu viens, quand tu viens d'une page web contenant un lien vers un document à charger.

si Indy ne le propose pas autrement, tu peux ajouter un Custom header "Referer: http://cequetuveux"

[sbadecoder]

Cela refonctionne avec IdHTTP.Request.Referer
Merci à chacun pour votre aide.