Apache: cierta cadena hace que la solicitud POST se cuelgue


1

Aquí hay un ejemplo mínimo de trabajo del problema que tengo. Sé que el error parece ser particular de mi servidor / configuración, pero todavía tengo curiosidad sobre lo que está sucediendo. Hay dos archivos, m1.php y m2.php:

m1.php

<form action="m2.php" method="post">
<br> <input type="text" name="j" />
<input type="submit"  VALUE="Ok"  />
</form>

m2.php

<?php  
print_r($_POST);
?>

Todo funciona como se esperaba (cuando hace clic en Aceptar, imprime la matriz con el valor del cuadro de entrada) con esta excepción: si la cadena que escribo es

VALUE';WAITFOR DELAY '00:00:24';--

El formulario no se procesa. Eliminar solo un carácter de la cadena anterior funciona sin problemas.

Al verificar los registros del servidor, cuando la cadena anterior es la entrada, no aparece ninguna solicitud POST en el registro, mientras que lo hace con cualquier otra cadena que se me ocurra. El problema parece ser del lado del servidor, ya que Fiddler muestra la solicitud POST con contenido

j=VALUE%27%3BWAITFOR+DELAY+%2700%3A00%3A24%27%3B--

y pude reproducirlo en diferentes navegadores desde diferentes plataformas. ¿Es este un problema de Apache? Tal vez php? ¿Cómo podría saberlo?

Encontré esto mientras ejecutaba una auditoría de seguridad en el sitio web. No hay ningún servidor SQL en ejecución, pero la auditoría informa el problema. Y tengo curiosidad por qué esa cadena en particular desencadena tal comportamiento.

Editar: en caso de que alguien esté interesado, acabo de notar que el comportamiento descrito anteriormente no depende en absoluto del código php. De hecho, si envío a través de Fiddler una solicitud POST a una página no existente en mi servidor, siempre que el contenido de la publicación incluya algún campo con la cadena mencionada anteriormente, la solicitud queda sin respuesta. Entonces parece que este es un problema de Apache.


¿Qué módulos de Apache y PHP tiene habilitados? Por ejemplo mod_security? Configure una instancia de apache separada con solo 1-2 procesos en ejecución, adjúntelos strace(usando la -p PIDopción) para ver qué está haciendo mientras procesa esa solicitud. Funciona en mi apache / php sin ningún problema, por lo que debe ser algo en su configuración.
Marki555

Lo intentaré, gracias. No afecta nada en mi servidor, pero me da mucha curiosidad por qué explota una cadena en particular.
Martin Argerami
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.