Bonjour ! J’essaie d’utiliser Discourse sous WAF et j’obtiens un 403 sur les requêtes POST du bus de messages uniquement. Je comprends que ce n’est pas un problème spécifique à Discourse, mais j’ai essayé beaucoup de choses ces derniers jours et je n’arrive pas à comprendre pourquoi j’obtiendrais une requête 403 spécifiquement sur le bus de messages. Toutes les suggestions/idées seraient appréciées ! Merci.
Messages d’erreur :
Ok, j’ai résolu le problème ! Je vais l’écrire ici. Peut-être que par hasard quelqu’un aura le même problème à l’avenir :
J’utilisais BunkerWeb et il utilise Modsecurity dans l’une de ses applications backend. Apparemment, cette règle de base de Modsecurity considère les requêtes post du bus de messages comme une attaque par injection SQL.
ModSecurity: Warning. Matched \"Operator `Rx' with parameter `(?i:(?:^[\\W\\d]+\\s*?(?:(?:alter\\s*(?:a(?:(?:pplication\\s*rol|ggregat)e|s(?:ymmetric\\s*ke|sembl)y|u(?:thorization|dit)|vailability\\s*group)|c(?:r(?:yptographic\\s*provider|edential)|o(?:l(?:latio|um)|nve (1040 caractères omis)' contre la variable `ARGS_NAMES:/delete' (Valeur : `/delete' ) [fichier \"/usr/share/bunkerweb/core/modsecurity/files/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\"] [ligne \"426\"] [id \"942360\"] [rev \"\"] [msg \"Détecte les tentatives d'injection SQL de base concaténées et de SQLLFI\"] [data \"Données correspondantes : /delete trouvées dans ARGS_NAMES:/delete : /delete\"] [severity \"2\"] [ver \"OWASP_CRS/3.3.4\"] [maturity \"0\"] [accuracy \"0\"] [tag \"application-multi\"] [tag \"language-multi\"] [tag \"platform-multi\"] [tag \"attack-sqli\"] [tag \"paranoia-level/1\"] [tag \"OWASP_CRS\"] [tag \"capec/1000/152/248/66\"] [tag \"PCI/6.5.2\"]
J’ai ajouté une exclusion aux règles ModSec comme ceci :
SecAction \"id:10000,phase:1,nolog,pass,t:none,ctl:ruleRemoveById=942360
Et le problème est résolu ! Je sais que cela n’aidera probablement pas la plupart d’entre vous, mais comme je l’ai dit, peut-être que cela aidera quelqu’un. Santé !
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.