Field exists and begins with 0

JeromeM14 · September 24, 2023, 8:07pm

Bonjour,
En consultant les logs de mon site web, j'ai constaté que depuis la mise en place du pare-feu applicatif (qui est une bonne chose en soi), j'obtiens une quantité de logs d'erreurs qui pour moi n'en sont pas.
Ces erreurs concernent exclusivement les fichiers audio et vidéo ; elles sont libellées ainsi :

[date] [error] [client IP] ModSecurity: Warning. Operator LT matched 20 at TX:inbound_anomaly_score. [file "/usr/local/apache2/conf/modsecurity/base_rules/modsecurity_crs_60_correlation.conf"] [line "32"] [msg "Inbound Anomaly Score (Total Inbound Score: 2, SQLi=, XSS=): Range: field exists and begins with 0."] [hostname "…"] [uri "…mp3"] [unique_id "…"]

Je pense avoir compris la raison de ces erreurs : un fichier (audio ou vidéo) est chargé par une page web mais n'est pas joué tant que le client ne clique pas sur la balise html associée.

Y a-t-il un moyen d'éviter ces erreurs que je considère (peut-être à tort) comme de faux-positifs ?
Avec ces nombreux messages d'erreurs, je risque de passer à côté de messages d'erreurs beaucoup plus sérieux (comme "PHP Injection Attack").

Ou alors existe-t-il de meilleures pratiques de codage que celles que j'utilise ? (en JavaScript, peut-être que l'ajout de l'attribut onclick="… . play()" à une balise img est considéré comme abusif ?)

D'avance merci pour vos réponses !

Jérôme.

JeromeM14 · September 24, 2023, 8:08pm

Désolé pour l'erreur dans le titre où il faut lire AND au lieu de ans …

fritz2cat · September 24, 2023, 8:12pm

modsecurity/base_rules/modsecurity_crs_60_correlation.conf

Bonjour,

Je pense que vous devriez désactiver le firewall.

Dites-vous que modsecurity peut protéger contre certains types d'attaques, surtout si votre site contient des vulnérabilités du type XSS ou SQL injection.
Mais ce n'est pas à proprement parler d'un firewall.

janus57_1 · September 24, 2023, 8:12pm

Bonjour,

(qui est une bonne chose en soi)

ou pas si vous n'avez pas de contrôle sur le WAF.

Le firewall chez OVH a plus d’inconvénients que d’avantages.
Et non vous ne pouvez rien faire pour les messages d'erreurs.

Cordialement, janus57

FabL · September 26, 2023, 7:58am

Bonjour @JeromeM14,

Si un des différents retours répond à votre demande, je vous invite à marquer ce dernier comme solution.

Dans le cas contraire, n’hésitez pas à ajouter des informations afin qu’une nouvelle réponse vous soit apportée par la communauté.

^FabL