¡Hola! Estoy intentando usar Discourse bajo WAF y estoy recibiendo 403 solo en las solicitudes POST del bus de mensajes. Entiendo que este no es un problema específico de Discourse, pero he intentado muchas cosas en el último día y no puedo entender por qué obtendría una solicitud 403 específicamente en el bus de mensajes. ¡Cualquier suposición/idea sería apreciada! Gracias.
Mensajes de error:
¡Ok, resolví el problema! Lo escribiré aquí. Quizás por casualidad alguien tenga el mismo problema en el futuro:
Estaba usando BunkerWeb y utiliza Modsecurity en una de sus aplicaciones backend. Aparentemente, esa regla de Modsecurity core-set toma la solicitud de mensaje del bus como un ataque de inyección SQL.
ModSecurity: Warning. Matched "Operator `Rx' with parameter `(?i:(?:^[\\W\\d]+\\s*?(?:(?:alter\\s*(?:a(?:(?:pplication\\s*rol|ggregat)e|s(?:ymmetric\\s*ke|sembl)y|u(?:thorization|dit)|vailability\\s*group)|c(?:r(?:yptographic\\s*provider|edential)|o(?:l(?:latio|um)|nve (1040 characters omitted)' against variable `ARGS_NAMES:/delete' (Value: `/delete' ) [file "/usr/share/bunkerweb/core/modsecurity/files/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "426"] [id "942360"] [rev ""] [msg "Detects concatenated basic SQL injection and SQLLFI attempts"] [data "Matched Data: /delete found within ARGS_NAMES:/delete: /delete"] [severity "2"] [ver "OWASP_CRS/3.3.4"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"]
Agregué una exclusión a las reglas de ModSec de esta manera:
SecAction "id:10000,phase:1,nolog,pass,t:none,ctl:ruleRemoveById=942360
¡Y el problema está resuelto! Sé que esto probablemente no ayudará a la mayoría de ustedes, pero como dije, quizás ayude a alguien. ¡Saludos!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.