Ciao! Sto cercando di usare Discourse sotto WAF e ricevo 403 solo sulle richieste POST del message bus. Capisco che non sia un problema specifico di Discourse, ma ho provato molte cose nell’ultimo giorno e non riesco a capire perché ricevo richieste 403 specificamente sul message bus. Qualsiasi ipotesi/idea sarebbe apprezzata! Grazie.
Messaggi di errore:
Ok, ho risolto il problema! Lo scriverò qui. Forse per caso qualcuno avrà lo stesso problema in futuro:
Stavo usando BunkerWeb e utilizza Modsecurity in una delle loro applicazioni backend. Apparentemente quella regola core-set di Modsecurity considera la richiesta di post del message bus come un attacco di SQL injection.
ModSecurity: Warning. Matched \"Operator `Rx' with parameter `(?i:(?:^[\\W\\d]+\\s*?(?:(?:alter\\s*(?:a(?:(?:pplication\\s*rol|ggregat)e|s(?:ymmetric\\s*ke|sembl)y|u(?:thorization|dit)|vailability\\s*group)|c(?:r(?:yptographic\\s*provider|edential)|o(?:l(?:latio|um)|nve (1040 characters omitted)' against variable `ARGS_NAMES:/delete' (Value: `/delete' ) [file \"/usr/share/bunkerweb/core/modsecurity/files/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\"] [line \"426\"] [id \"942360\"] [rev \"\"] [msg \"Detects concatenated basic SQL injection and SQLLFI attempts\"] [data \"Matched Data: /delete found within ARGS_NAMES:/delete: /delete\"] [severity \"2\"] [ver \"OWASP_CRS/3.3.4\"] [maturity \"0\"] [accuracy \"0\"] [tag \"application-multi\"] [tag \"language-multi\"] [tag \"platform-multi\"] [tag \"attack-sqli\"] [tag \"paranoia-level/1\"] [tag \"OWASP_CRS\"] [tag \"capec/1000/152/248/66\"] [tag \"PCI/6.5.2\"]
Ho aggiunto un’esclusione alle regole di ModSec in questo modo:
SecAction \"id:10000,phase:1,nolog,pass,t:none,ctl:ruleRemoveById=942360
E il problema è risolto! So che probabilmente questo non aiuterà la maggior parte di voi, ma come ho detto, forse aiuterà qualcuno. Saluti!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.