Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2943 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF blockiert Abfrage

XACT
Hallo,

wir haben hier folgendes Problem: Wir haben eine Webanwendung, die durch die WAF (UTM 9.107-33 im HA-Modus) geschützt wird und unter anderem Datenbankabfragen filtert.

Normalerweise sieht ein solcher Abfrage-POST mit einem Suchkriterium so aus:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278295687_at":"1"}}

Ergebnis: Abfrage funktioniert, Ergebnis wird im Browser angezeigt.

In unserem speziellen (Fehler-)Fall ist es nun so, dass eine Kombination von mehreren Suchkriterien dazu führt, dass die WAF die Abfrage blockiert.
Abfrage:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278160486_ct":"Blablabla (4250)","1335278295687_at":"1"}}

Ergebnis: Abfrage läuft ins Leere, an der WAF wird folgender Fehler protokolliert:

2014:01:30-13:28:56 XYZ-fw-1 reverseproxy: srcip="xx.***.***.xx" localip="yy.yyy.yyy.yy" size="251" user="-" host="xx.***.***.xx" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected" time="9094" url="/anwendung/script/client/controller/search/search.gsp" server="yy.yyy.yyy.yy" referer="webserver.domain.de/.../client.gsp

Was tun? 

Vielen Dank schonmal!
Gruß
XACT


This thread was automatically locked due to age.
  • 0
    Alle Optionen beim Virtualserver mal deaktivieren und testen.
    Wenn dann alles geht, nach und nach die Optionen reaktivieren und jeweils testen.
  • 0
    Steht doch im Log [;)]:
    extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected"

    Der XSS-Schutz (Cross Site Scripting) schägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hi,

    es reicht auch, dass du nur die Regel, die blockt, beim XSS Filtering rausnimmst. 

    Dazu fügst du die Regel ID in deinem Firewall Profile unter 'Skip WAF rules' ein (Advanced profile settings). 
    Die Regel ID findest du unter Logging & Reporting -> Webserver Protection -> Details: 
    'Top Rules' auswählen, passender Zeitraum auswählen, Update klicken. Dann die passende 'Rule ID' auswählen.

    Gruß
     Sabine
  • 0
    Hallo zusammen,
    vielen Dank für die Hilfe!

    Leider hat bisher nichts was gebracht... (Versteh ich nicht)
    Ich habe die Exception für den Scriptpfad definiert (in allerlei Variationen), wie von scorpionking vorgeschlagen - Fehler bleibt
    Ich habe versucht, die Rule-Nr. herauszubekommen, um sie auszunehmen wie von Sabine vorgeschlagen- es gibt angeblich keine! Häääh???

    Das einzige, was bisher geholfen hat, war den XSS-Schutz komplett abzuschalten - aber das kann ja auch nicht der Sinn sein. 

    Bin ich jetzt zu doof oder ist das ein Bug? Oder habe ich was übersehen?

    Gruß
    XACT
  • 0
    Hallo,

    wie kann es sein, dass eine Exception, die ziemlich sicher korrekt definiert ist, an der WAF "nicht zieht", bzw. warum werden gar keine Blockierungsregeln protokolliert? Könnte das zusammenhängen?
  • 0 in reply to scorpionking

    Der XSS-Schutz (Cross Site Scripting) schlägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").


    Hab's hinbekommen, ein Blick ins Handbuch hilft manchmal :-)

    Der Pfad muss "/anwendung/script/client/controller/search/*" heißen (entscheidend ist das Sternchen!) - und natürlich ohne Anführungszeichen.

    Vielen Dank!

    Ungeklärt ist allerdings aus meiner Sicht noch, warum keine Block-Rules bei den Details der WAF-Protokollierung geloggt werden.
  • 0 in reply to XACT
    [...](entscheidend ist das Sternchen!)[...]


    Sorry, mein Fehler. Das Sternchen muss natürlich mit hin. Danke für den Hinweis.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner