Requete PUT et DELETE bloquée par le serveur OVH

RomainP57 · June 7, 2024, 4:12pm

Bonjour,

J'ai un serveur dédié, j'ai installé mon app nodeJS dessus.

Elle tourne, je peux effectuer mes requetes POST et GET.

Par contre pour le PUT et le DELETE j'obtiens ceci :

403 Forbidden

Forbidden

You don't have permission to access this resource.

Cela fais 2 jours que j'essaie de régler le probleme.
J'ai essayé en créant un fichier htaccess mais en vain.

Et je ne peux pas autoiser les requetes via apache car je n'y est pas accès.

Mon offre :
Cloud Web 1

Lien pour requete DELETE toute simple (rien de particulier) et on ne peut meme pas l'executer :
https://api.workout-atom-ia.the-essential-apps.com/test-delete

C'est pareil pour le PUT.

Quelqu'un peut-il m'aider s'il vous plait ?
Je vous remercie.

Cordialement
Romain

PS : si besoin de plus d'infos ou autres n'hésitez pas bien entendu.

RomainP57 · June 8, 2024, 6:37am

Bon alors, il s'avère qu'en désactivant le Firewall, cela fonctionne.

Mais du coup comment faire pour conserver le Firewall et autoriser les requetes DELETE et PUT ?

J'ai essayé d'autoriser via .htaccess mais sans succès.

fritz2cat · June 9, 2024, 6:20am

en désactivant le Firewall, cela fonctionne

Ce que OVH appelle le Firewall, c'est l'activation du module Apache "ModSecurity".
Ce module analyse les requêtes HTTP reçues par le serveur à la recherche de tentatives de hacking par exemple via une injection SQL ou autre élément probablement malveillant. Si un URL reçu répond à certains critères, la requête se termine avec un 403 Forbidden.
Exemple: présenter un User-Agent tel que "wget" (alors que "Firefox" fonctionne)

L'ensemble de règles est consolidé chez https://coreruleset.org/
C'est quelque chose qui est bien maintenu, et OVH ne documente pas s'ils utilisent cet ensemble de règle "standardisé" ni à quelle version récente ou ancienne.

En tout état de chose vous devez accepter d'utiliser ce Firewall (ou plutôt WAF) tel qu'il vous est proposé, ou bien ne pas l'utiliser.

Le WAF est notoirement connu pour casser certaines opérations qui impliquent des URL longs, complexes ou avec beaucoup de paramètres, tels que des plugins de migration, conversion, installation de modules.

TTY · June 9, 2024, 6:53am

Peut être que tu as accès aux réglages.
As tu un dossier /etc/modsecurity/ ?

janus57_1 · June 10, 2024, 3:17am

Bonjour,

Peut être que tu as accès aux réglages.

sur un mutu, chez OVH ?
Impossible je dirais, cela reste une offre mutu.

Cordialement, janus57

TTY · June 10, 2024, 8:28am

Arf oui désolé, j'ai cru que c'était un cloud web (je les vois comme des sortes de VPS).

janus57_1 · June 10, 2024, 8:48am

Bonjour,

Bah un "cloud web" c'est un VPS mutualisé (d'après la fiche commerciale), mais cela donne pas accès au système vu qu'on reste sur du managé par OVH.

Cordialement, janus57

RomainP57 · June 10, 2024, 9:43am

Bonjour,

Dans ce cas qu'ils ne disent pas que l'on peut développer du nodejs dessus… Puisque ce n'est pas le cas. Je ne connais aucune app node js qui fonctionne sans requête put ou delete. Donc je vais demander un remboursement… Que faire de plus…

Merci du retour.

janus57_1 · June 10, 2024, 9:49am

Bonjour,

Désactiver le pare-feu tout simplement (dans 90% des cas il est pas utile car pas de contrôle dessus).
A la base ce WAF est conçu pour les applications php.

Cordialement, janus57