Olá! Estou tentando usar o Discourse sob WAF e estou recebendo 403 apenas em requisições POST do message bus. Entendo que este não é um problema específico do Discourse, mas tentei muitas coisas no último dia e não consigo entender por que receberia uma requisição 403 especificamente no message bus. Quaisquer palpites/ideias seriam apreciados! Obrigado.
Mensagens de erro:
Ok, resolvi o problema! Vou escrever aqui. Talvez, por acaso, alguém tenha o mesmo problema no futuro:
Eu estava usando o BunkerWeb e ele usa o Modsecurity em uma de suas aplicações de backend. Aparentemente, essa regra do conjunto principal do Modsecurity considera a solicitação de postagem do barramento de mensagens como um ataque de injeção de SQL.
ModSecurity: Warning. Matched "Operator `Rx' with parameter `(?i:(?:^[\\W\\d]+\\s*?(?:(?:alter\\s*(?:a(?:(?:pplication\\s*rol|ggregat)e|s(?:ymmetric\\s*ke|sembl)y|u(?:thorization|dit)|vailability\\s*group)|c(?:r(?:yptographic\\s*provider|edential)|o(?:l(?:latio|um)|nve (1040 characters omitted)' against variable `ARGS_NAMES:/delete' (Value: `/delete' ) [file "/usr/share/bunkerweb/core/modsecurity/files/coreruleset/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "426"] [id "942360"] [rev ""] [msg "Detects concatenated basic SQL injection and SQLLFI attempts"] [data "Matched Data: /delete found within ARGS_NAMES:/delete: /delete"] [severity "2"] [ver "OWASP_CRS/3.3.4"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"]
Adicionei uma exclusão às regras do ModSec assim:
SecAction "id:10000,phase:1,nolog,pass,t:none,ctl:ruleRemoveById=942360
E o problema foi resolvido! Eu sei que isso provavelmente não ajudará a maioria de vocês, mas como eu disse, talvez ajude alguém. Saúde!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.