مرحباً! أحاول استخدام Discourse تحت WAF وأحصل على 403 على طلبات POST الخاصة بحافلة الرسائل فقط. أفهم أن هذه ليست مشكلة خاصة بـ Discourse ولكنني جربت العديد من الأشياء في اليوم الأخير ولا يمكنني فهم سبب حصولي على طلب 403 على حافلة الرسائل تحديدًا. أي تخمينات/أفكار ستكون موضع تقدير! شكراً لك.
رسائل الخطأ:
حسنًا، لقد قمت بحل المشكلة! سأكتبها هنا. ربما بالصدفة سيواجه شخص ما نفس المشكلة في المستقبل:
كنت أستخدم BunkerWeb وكان يستخدم Modsecurity في أحد تطبيقات الواجهة الخلفية الخاصة بهم. يبدو أن قاعدة Modsecurity core-set تعتبر طلبات رسائل الحافلة كـ SQL injection.
ModSecurity: Warning. Matched "Operator `Rx' with parameter `(?i:(?:^[\\W\\d]+\\s*?(?:(?:alter\\s*(?:a(?:(?:pplication\\s*rol|ggregat)e|s(?:ymmetric\\s*ke|sembl)y|u(?:thorization|dit)|vailability\\s*group)|c(?:r(?:yptographic\\s*provider|edential)|o(?:l(?:latio|um)|nve (1040 characters omitted)' against variable `ARGS_NAMES:/delete' (Value: `/delete' ) [file "/usr/share/bunkerweb/core/modsecurity/files/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "426"] [id "942360"] [rev ""] [msg "Detects concatenated basic SQL injection and SQLLFI attempts"] [data "Matched Data: /delete found within ARGS_NAMES:/delete: /delete"] [severity "2"] [ver "OWASP_CRS/3.3.4"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"]
لقد أضفت استثناءً لقواعد ModSec على هذا النحو:
SecAction "id:10000,phase:1,nolog,pass,t:none,ctl:ruleRemoveById=942360
وتم حل المشكلة! أعرف أن هذا ربما لن يساعد معظمكم ولكن كما قلت، ربما يساعد شخصًا ما. تحياتي!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.