idHTTP et upload via php et ModSecurity

Version imprimable

J'avais un code qui fonctionnait bien en appelant un fichier php de mon site pour uploader un fichier.
Depuis quelques temps, cela ne marche pas car je pense que mon hébergeur à ajouter le ModSecurity.

J'obtiens cela en log sur mon site :

Citation:

ModSecurity: Access denied with code 406 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS_NAMES. [file "remote server"] [line "-1"] [id "600004"] [msg "Malware.Expert - Unauthenticated upload"]

Et voici le code :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 HTTP := TIdHTTP.Create; HTTP.Request.UserAgent := 'Mozilla/5.0 (compatible;MyApp)'; Stream := TStringStream.Create; Params := TIdMultipartFormDataStream.Create; Params.AddFile('toto', Fn, 'application/octet-stream'); // MIME try HTTP.Post(Website+'/support/upload.php', Params, Stream); // là, cela génére un code erreur 406 result := true; except on E: Exception do begin Memo.Lines.Insert(0, 'ERROR: (P) ' + E.Message); end; end; Params.Free; Stream.Clear; Stream.Free; HTTP.Free;

21/03/2022, 14h34
ShaiLeTroll

Si vous le pouvez passer plutôt par un FTP avec Login\Password si c'est une application d'administration
Si c'est une application installée en clientèle, faudrait vous renseigner si cela supporte une Basic Auth ou une Bearer Auth a ajouter en entête de la requête HTTP soit via TIdHTTP.OnAuthorization
Il faudrait aussi respecter les normes de nommage de fichier défini par votre hébergeur, vous avez un travail de recherche en amont que les membres du forum ne pourront pas deviner si vous ne vérifiez pas vous mêmes les configurations de vos serveurs.

Faudra aussi songer au HTTPS sur le serveur et TIdSSLIOHandlerSocketOpenSSL pour le client
21/03/2022, 15h11
sbadecoder

1) C'est bien installé en "clientèle" dans le cas d'une Basic Auth ou d'une Bearer Auth que devrais-je ajouter ?
2) Et faudra-t-il fournir un login/mdp aussi ?
3) Pour ce qui est du SSL, oui néanmoins le fichier uploadé est crypté en amont de l'upload.
Merci.
21/03/2022, 15h33
pprem

des fois ça déconne juste parce qu'il n'y a pas de USER_AGENT envoyé, peut-être que ça suffirait d'en mettre un dans les entêtes ?
21/03/2022, 15h45
sbadecoder

oui, c'est ce que j'avais lu et il y en a un dans mon code, est ce suffisant ?
21/03/2022, 16h09
ShaiLeTroll

Citation:

Envoyé par sbadecoder

1) C'est bien installé en "clientèle" dans le cas d'une Basic Auth ou d'une Bearer Auth que devrais-je ajouter ?
2) Et faudra-t-il fournir un login/mdp aussi ?

la réponse 2) aura la réponse via la réponse 1)
Il vous faut voir les causes de l'erreur, que signifie exactement "Unauthenticated"
Voir aussi REQUEST_HEADERS_NAMES car mêmes les entêtes peuvent faire parti d'une règle, USER_AGENT n'étant qu'un seul des headers parmi d'autres.
Vous devez demander à l'hébergeur les règles définies.

Citation:

Envoyé par sbadecoder

3)Pour ce qui est du SSL, oui néanmoins le fichier uploadé est crypté en amont de l'upload.

le HTTPS négocie la crypto avant l'envoie de donnée, donc si je me trompe pas avant l'envoie du header
Vous pouvez crypter de votre côté mais pour que cela soit efficace, cela doit être fait avec une clé asymétrique, la clef publique distribuée à la clientèle, pour chiffrer, l'autre, la clef privée, pour déchiffrer.
Si vous utilisez un chiffrage maison genre XOR, Code César, Transcodage divers ou même un simple AES, dès que l'on a accès à la clé symétrique, c'est comme si il n'y avait aucune sécurité.
22/03/2022, 06h36
sbadecoder

Demande effectuée auprès de l'hébergeur.
Pour mon cryptage, il est en double couche de type AES / RSA.
22/03/2022, 09h11
ShaiLeTroll

Lorsque vous désignez " double couche ", je suppose qu'il s'agit d'un chiffrage AES du fichier pour la confidentialité et l'adjonction d'une signature SHA-* via RSA pour l'authenticité
L'approche idéal pour combiner sécurité tout en conservant des performances.

En espérant que votre hébergeur sera au niveau pour vous accompagnez, surtout si celui-ci est payant.
22/03/2022, 21h59
sbadecoder

Première réponse de l'hébergeur (payant), désactiver le ModSecurity.
J'attends une autre réponse avec conservation du ModSecurity.
23/03/2022, 09h06
Paul TOTH

d'après ce que je vois, il faudrait consulter le fichier conf de modSecure

https://malware.expert/tutorial/writ...ecurity-rules/

il doit contenir une règle du type

Citation:

SecRule REQUEST_LINE|REQUEST_HEADERS|REQUEST_HEADERS_NAMES "@contains () {" "id:420008,phase:2,t:none,t:lowercase,deny,status:500,log,msg:'Malware expert - user-agent: Bash ENV Variable Injection Attack'"

qui donnerait la raison exacte du refus et ce qu'il faut faire pour que la requête soit autorisée
23/03/2022, 11h17
sbadecoder

Réponse 2
La règle que vous visualisez est la suivante:

La règle vérifie que :
- des cookies sont présents
- un header "authorization" est présent
- un header "referer" est présent

Si aucune des 3 conditions matche, alors cela est bloqué.
23/03/2022, 13h42
Paul TOTH

Citation:

Envoyé par sbadecoder

Réponse 2
La règle que vous visualisez est la suivante:

La règle vérifie que :
- des cookies sont présents
- un header "authorization" est présent
- un header "referer" est présent

Si aucune des 3 conditions matche, alors cela est bloqué.

il te manque probablement le referer, c'est supposé être l'URL d'où tu viens, quand tu viens d'une page web contenant un lien vers un document à charger.

si Indy ne le propose pas autrement, tu peux ajouter un Custom header "Referer: http://cequetuveux"
23/03/2022, 19h36
sbadecoder

Cela refonctionne avec IdHTTP.Request.Referer :D
Merci à chacun pour votre aide.