Нормализация пути
Фильтры не применяются к исходным данным запроса – первым делом выполняется их нормализация. Это делается потому, что атакующий может применить различные технологии скрытия определенной последовательности символов, чтобы избежать обнаружения атаки. Например, можно установить фильтр, который определяет выполнение команд shell:
SecFilter /bin/sh
Но атакующий может использовать строку /bin/./sh (которая приведет к тем же самым действиям), чтобы обойти фильтр. ModSecurity автоматически применяет следующие преобразования:
- в Windows преобразует \ в /;
- понижает /./ до /;
- понижает // до /;
- декодирует символы URL.
Можно также установить или запретить проверку представления URL, а также разрешать использовать только байты из некоторого диапазона
