libinjection sosks fingerprint

 ( plt | 2018. december 10., hétfő - 13:52 )

Egy friss mod_security blokkol egy eddig jól működő weboldalt.
A naplók alapján egy coockie-ra illeszkedik a libinjection "sosks" fingerprint-je.
Még a libinjection forrásába is belenéztem, de nem találom, mit jelent ez az ujjlenyomat, milyen mintára illeszkedik az adott cookie, ami amúgy normálisnak, biztonságosnak tűnik.

ISSQL: libinjection fingerprint 'sosks' matched input 'a:2:{i:0;s:28:\"/cikkek/kategoriak/tartalom/\";i:1;s:5:\"index\";}'

Egyébként szinte minden más url-re is illeszkedik a minta. Érdekes azonban, hogy a nyitóoldali

a:1:{i:0;s:5:"index";}

cookie értékre nem illeszkedik. Talán a / jel lenne tiltott a cookie értékében a sosks szerint?
Tudja valaki, milyen minta ez, hogyan lehet megtalálni? Hogyan lehet kitalálni, mi nem tetszik neki ebben a coockie-ban?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sajnos a mintát megtalálnom nem sikerült, de a hibás szabály blokkolása sem volt egyértelmű.
A megoldás a "SecRuleUpdateTargetById 942100 !REQUEST_COOKIES:exp_tracker" szabály beillesztése a "/etc/modsecurity/crs/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf" fájl végére, mivel csak az itt lévő szabályok tudják felülbírálni a mag szabályait.
A fenti szabály a 942100 id-vel azonosított szabály futtatását tiltja az exp_tracker nevű cookie esetén.
Örül.

A https://github.com/client9/libinjection/blob/master/src/sqli_cli.c igy bontja ki, ha kiveszem belole a \-eket:


$ ./sqli_cli -q2 -f 'a:2:{i:0;s:28:"/cikkek/kategoriak/tartalom/";i:1;s:5:"index";}'
s a:2:{i:0;s:28:"
o /
s ";i:1;s:5:"
k index
s ";}

sosks -> string, operator, string, keyword, string

Erdekes :)

Köszi!
Ezek szerint tényleg nincs jobb megoldás, mint egyedileg tiltani a szabályt az ExpressionEngine exp_tracker cookijára.