Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.
ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'
Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali
a:1:{i:0;s:5:"index";}
cookie értékre nem illeszkedik. Talán a / jel lenne tiltott a cookie értékében a sosks szerint?
Tudja valaki, milyen minta ez, hogyan lehet megtalálni? Hogyan lehet kitalálni, mi nem tetszik neki ebben a coockie-ban?
- 731 megtekintés
Hozzászólások
Sajnos a mintát megtalálnom nem sikerült, de a hibás szabály blokkolása sem volt egyértelmű.
A megoldás a "SecRuleUpdateTargetById 942100 !REQUEST_COOKIES:exp_tracker" szabály beillesztése a "/etc/modsecurity/crs/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf" fájl végére, mivel csak az itt lévő szabályok tudják felülbírálni a mag szabályait.
A fenti szabály a 942100 id-vel azonosított szabály futtatását tiltja az exp_tracker nevű cookie esetén.
Örül.
- A hozzászóláshoz be kell jelentkezni
A https://github.com/client9/libinjection/blob/master/src/sqli_cli.c igy bontja ki, ha kiveszem belole a \-eket:
$ ./sqli_cli -q2 -f 'a:2:{i:0;s:28:"/cikkek/kategoriak/tartalom/";i:1;s:5:"index";}'
s a:2:{i:0;s:28:"
o /
s ";i:1;s:5:"
k index
s ";}
sosks -> string, operator, string, keyword, string
Erdekes :)
- A hozzászóláshoz be kell jelentkezni
Köszi!
Ezek szerint tényleg nincs jobb megoldás, mint egyedileg tiltani a szabályt az ExpressionEngine exp_tracker cookijára.
- A hozzászóláshoz be kell jelentkezni