MediaWiki将CLTF文本作为RCE处理。

Question

帮助。我在安装MediaWiki 1.37.2时遇到了一个奇怪的问题。我们(我和音乐家)正试图获得一个维基为宗族主曲调格式的音乐(就像midi，但与-g，“。对于平面，"…“和弦所以“DFA”。是可能的和弦)。但是，当我们尝试编辑或创建一个包含CLTF的页面时，有时MediaWiki会抛出一个异常，认为它是RCE攻击：

ModSecurity:警告。模式匹配“(？：\$(？：(？)((.)\{.})|<>(.)) at ARGS:text at ARGS:text.file "…”/apache2/template/etc/mod_sec3_CRS/REQUEST-932-APPLICATION-ATTACK-RCE.conf“id "932130”[数据“匹配数据：

和

严重性“关键”标签应用程序-多“标签”平台-unix标签“偏执级/1”标签"capec/1000/152/248/88“

在最后。

如何禁用或修改安全模块，使其不对此文本抛出异常，而不将其标记为RCE攻击，以便将其保存在wiki中？是否有允许CLTF格式音乐的文本设置或格式？

预先感谢您的任何解决办法。

*编辑:我发现了这个：https://www.mediawiki.org/wiki/ModSecurity，它说要用.htaccess文件关闭安全模块。这是在MediaWiki目录还是在web根目录中？

**编辑2:我们还发现：https://anto.online/guides/how-to-disable-modsecurity-rules-that-cause-403-errors/和不确定哪一个是OWASP_CRS的代码："capec/1000/152/248/88“？

完整日志(减去用省略号删除的个人可识别信息：…))：

5月18日上午08:27:38.649383 2022 pid 3490:tid 3408850568960客户端…ModSecurity:警告。模式匹配“(？：\$(？：\(？)((？：.\)\{.\})|<>\(.\))”“在ARGS:wpTextbox1 1处。文件“/apache2/template/etc/mod_sec3_CRS/REQUEST-932-APPLICATION-ATTACK-RCE.conf”id“932130[…”匹配数据：>((@150e4pppb2ppe2ppe2pd3pppe2pp|1e2ppe2p!ppp)2)4(=egb8e4pppb2p=egb8pe2ppe2p=df#b8d3pppe2p=egb8p|1e2ppe2p!ppp)2(=cea8a4pppe2p=cea8pa2ppa2p=df#b8d3pppf#2p|1=cea8pe2ppe2p8pppp)2((=egb8e4pppb2p=egb8pe2ppe2p=df#b8d3pppe2p|1=egb8pe2ppe2ppppp)2)2(=egb8e4pppb2p=egb8pe2ppe2p=df#b8d3pppe2p=egb8p|1e2ppe2p!ppp)2(=cea8a4pppe2p=cea8pa2ppa2p=df#b8d3pppf#2p|1=cea...“ver "OWASP_CRS/3.3.2“标记"language-shell”标记“攻击-rce”标记"OWASP_CRS“[标记"PCI/6.5.2”主机名"…“unique_id "YoUQak6BVgxiylKa6BNQVgAAAAE"，referer：https://…/bardsfield/index.php?title=…&action=edit

Answer 1

好吧。因此，我们获得了所有的modSec规则ID豁免，我们需要(在那里，我们有6个安全违规)通过我们的主机ISP的服务器管理。所以这个案子结束了。

Answer 2

尝试这个排除规则(将其放入REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf中)：

SecRule REQUEST_FILENAME "@endsWith /index.php" \
    "id:80,\
    phase:1,\
    pass,\
    t:none,\
    nolog,\
    chain"
    SecRule ARGS:action "@streq submit" \
        "t:none,\
        chain"
        SecRule &ARGS:action "@eq 1" \
            "t:none,\
            ctl:ruleRemoveTargetById=930120;ARGS:wpTextbox1,\
            ctl:ruleRemoveTargetById=932100;ARGS:wpTextbox1,\
            ctl:ruleRemoveTargetById=932130;ARGS:wpTextbox1,\
            ctl:ruleRemoveTargetById=941100;ARGS:wpTextbox1,\
            ctl:ruleRemoveTargetById=941160;ARGS:wpTextbox1"