php - ajax url 使用特定单词 "Altar "或 "altar"给出 403 其他 url 工作正常

Question

当我使用单词“Altar”或“altar”后跟一个空格时，我使用 ajax 作为 GET 发送到 php 文件的 url 给我一个 403 错误。它是一个教堂站点，所以他们当然会使用这个词。

在我在参数中使用该词之前，代码工作得很好。这例如工作得很好，即使里面有 url 和特殊字符，以及一个单引号:

ad2calendar.php?ajax=1&u=testuser&d=2013-11-30&s=1&iurl=altar.jpg&eEvent=%3Ca%20href%3D'someurl.com'%20title%3D%22Phony%20URL%22%20%3EA %20Phony%20URL%3C%2Fa%3E%0ASome%20special%20chars%20!%40%26%5E%25%23%24(%23%40%22%22&notes=test&eTitle=Test&y=2013&m=11

但这给了我一个 403，因为它包含带空格的单词“Altar”。

ad2calendar.php?ajax=1&u=testuser&d=2013-11-30&s=1&iurl=&eEvent=Altar%20&notes=test&eTitle=Test&y=2013&m=11

有没有想过为什么像这样的简单词会破坏导致 403 的 URL？

我自己的故障排除发现 403 来自比 php 文件所在目录更高的目录(php 位于受密码保护的目录中)。我认为这可能是由于某些字符编码问题引起的，因为我最近将文件更改为 UTF-8，但它似乎工作正常。尝试使用空白的 .htaccess 文件，因此没有 mod_rewrites，在表单字段上使用 encodeURIComponent。该脚本不会检查此字符组合和重定向。

我有 php 严格错误报告，没有抛出 php 错误，也没有抛出 javascript 错误。我似乎得到的唯一错误与结果 div 中显示的 403 页面有关，对于 ajax 响应，因为 403 页面使用的资源不在该目录位置。

代码本身非常复杂，所以我不能真正开始发布所有内容。只是在寻找一些进一步排除故障的方向。老实说，我很快就会针对这个词进行破解。

更奇怪的是，一两个月前我还能使用这个词，但如果我将代码回滚到那个点，错误仍然存​​在。

从我的原始访问日志中，第一个包含“Altar”并给出 200，第二个包含带有尾随空格的“Altar”并给出 403。

XXX.XXX.XXX.XXX - - [11/Nov/2013:12:35:22 -0500] "GET /ad2calendar.php?ajax=1&u=testuser&d=2013-11-30&s=0&iurl=&eEvent=Altar&notes=&eTitle=&y=2013&m=11 HTTP/1.1" 200 20102 "http://XXXXX/ad2events.php" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16"

XXX.XXX.XXX.XXX - - [11/Nov/2013:12:35:29 -0500] "GET /ad2calendar.php?ajax=1&u=testuser&d=2013-11-30&s=1&iurl=&eEvent=Altar%20&notes=&eTitle=&y=2013&m=11 HTTP/1.1" 403 1098 "http://XXXXX/ad2events.php" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16"

发现尖括号中的文本“script”也会给出403。示例:

<script > alert("I am Bad"); </script >

上面给出了403错误。这确认存在导致此问题的某些安全功能或编码问题。

Answer 1

您描述的行为听起来像是写得不好的行为 mod_security规则 — 可能是一个试图防止注入(inject)的 SQL 包含诸如 ALTER TABLE 之类的命令，但规则中的关键词拼写错误(!)。有关详细信息，请联系您的网络托管服务商。