Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 8150 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mod Security returns 413

dcline97
We use DevExpress ASP.NET controls on our portals.  On one page we display pricing data on a grid and have an option to download it as an Excel spreadsheet.  For one customer we started getting a 413 error and I had to change some IIS configuration settings to correct the problem, but the error was still occurring.  I figured out the WAF is experiencing pretty much the same error.

2015:05:08-13:35:09 SHOUTP reverseproxy: [Fri May 08 13:35:09.775416 2015] [security2:error] [pid 28468:tid 3903576944] [client 192.168.16.72] ModSecurity: Request body no files data length is larger than the configured limit (1048576).. Deny with code (413) [hostname "portal.somesite.com"] [uri "/SalesPortal/PrtPricingExport.aspx"] [unique_id "VU0d-cCoEAEAAG80WFsAAAAb"]

Any ideas how/where to fix this within the UTM?

Dave


This thread was automatically locked due to age.
  • 0
    Good evening Dave.  Looks like you are a paid license user.  It's an Apache configuration setting called SecRequestBodyNoFilesLimit, which is using the default size.  Open up a case with support and they should be able to make the change needed after a bit of floundering and research.  You do not want to make the change yourself, because it will void the support contract with your paid license.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Yeah,

    I found another link that provided the same info, but I could not find the modsec.conf file.  I'll call support on Monday and get this dealt with.

    Thanks,

    Dave
  • 0
    The file is named something different in UTM.  I wanted to give you enough info to pass along to support, so they weren't spinning their wheels for too long, but not enough so somebody shoots themselves in the foot.  [:)]  If you do a little spelunking in this forum, you can find a thread started by Scorpionking exactly two years ago that'll give you the correct path.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    bug ID 34497 created for this with fix in 9.310 GA.

    But for reference for those who have not updated to 9.310 yet, can do the following in the backend. Note that updating the firmware will make this be lost:

    Add the following to the base.conf.

    # vi /var/storage/chroot-reverseproxy/usr/apache/conf/waf/base.conf

    The beginning of the file looks like:

    SecDebugLogLevel 0
    SecDebugLog /tmp/waf_debug.log

    SecRequestBodyAccess On
    SecResponseBodyAccess On
    SecResponseBodyLimitAction ProcessPartial

    # mod_security has a hard limit at 1GB file upload size
    SecRequestBodyLimit 1073741824

    Just add the "SecRequestBodyNoFilesLimit 1073741824" between "SecResponseBodyLimitAction ProcessPartial" and "# mod_security has a hard limit at 1GB file upload size"
    It has to look like:

    SecRequestBodyAccess On
    SecResponseBodyAccess On
    SecResponseBodyLimitAction ProcessPartial
    SecRequestBodyNoFilesLimit 1073741824

    # mod_security has a hard limit at 1GB file upload size
    SecRequestBodyLimit 1073741824

    After you saved the base.conf restart the WAF with:

    # /var/mdw/scripts/reverseproxy restart
Unfiltered HTML