libinjection sosks fingerprint

Fórumok

Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.


ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'

Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali


a:1:{i:0;s:5:"index";}

cookie értékre nem illeszkedik. Talán a / jel lenne tiltott a cookie értékében a sosks szerint?
Tudja valaki, milyen minta ez, hogyan lehet megtalálni? Hogyan lehet kitalálni, mi nem tetszik neki ebben a coockie-ban?

Hozzászólások

Sajnos a mintát megtalálnom nem sikerült, de a hibás szabály blokkolása sem volt egyértelmű.
A megoldás a "SecRuleUpdateTargetById 942100 !REQUEST_COOKIES:exp_tracker" szabály beillesztése a "/etc/modsecurity/crs/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf" fájl végére, mivel csak az itt lévő szabályok tudják felülbírálni a mag szabályait.
A fenti szabály a 942100 id-vel azonosított szabály futtatását tiltja az exp_tracker nevű cookie esetén.
Örül.