Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF blockiert Abfrage

XACT
Hallo,

wir haben hier folgendes Problem: Wir haben eine Webanwendung, die durch die WAF (UTM 9.107-33 im HA-Modus) geschützt wird und unter anderem Datenbankabfragen filtert.

Normalerweise sieht ein solcher Abfrage-POST mit einem Suchkriterium so aus:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278295687_at":"1"}}

Ergebnis: Abfrage funktioniert, Ergebnis wird im Browser angezeigt.

In unserem speziellen (Fehler-)Fall ist es nun so, dass eine Kombination von mehreren Suchkriterien dazu führt, dass die WAF die Abfrage blockiert.
Abfrage:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278160486_ct":"Blablabla (4250)","1335278295687_at":"1"}}

Ergebnis: Abfrage läuft ins Leere, an der WAF wird folgender Fehler protokolliert:

2014:01:30-13:28:56 XYZ-fw-1 reverseproxy: srcip="xx.***.***.xx" localip="yy.yyy.yyy.yy" size="251" user="-" host="xx.***.***.xx" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected" time="9094" url="/anwendung/script/client/controller/search/search.gsp" server="yy.yyy.yyy.yy" referer="webserver.domain.de/.../client.gsp

Was tun? 

Vielen Dank schonmal!
Gruß
XACT


This thread was automatically locked due to age.
Parents
  • 0
    Steht doch im Log [;)]:
    extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected"

    Der XSS-Schutz (Cross Site Scripting) schägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Steht doch im Log [;)]:
    extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected"

    Der XSS-Schutz (Cross Site Scripting) schägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • 0 in reply to scorpionking
    Hi,

    es reicht auch, dass du nur die Regel, die blockt, beim XSS Filtering rausnimmst. 

    Dazu fügst du die Regel ID in deinem Firewall Profile unter 'Skip WAF rules' ein (Advanced profile settings). 
    Die Regel ID findest du unter Logging & Reporting -> Webserver Protection -> Details: 
    'Top Rules' auswählen, passender Zeitraum auswählen, Update klicken. Dann die passende 'Rule ID' auswählen.

    Gruß
     Sabine
  • 0 in reply to scorpionking

    Der XSS-Schutz (Cross Site Scripting) schlägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").


    Hab's hinbekommen, ein Blick ins Handbuch hilft manchmal :-)

    Der Pfad muss "/anwendung/script/client/controller/search/*" heißen (entscheidend ist das Sternchen!) - und natürlich ohne Anführungszeichen.

    Vielen Dank!

    Ungeklärt ist allerdings aus meiner Sicht noch, warum keine Block-Rules bei den Details der WAF-Protokollierung geloggt werden.
  • 0 in reply to XACT
    [...](entscheidend ist das Sternchen!)[...]


    Sorry, mein Fehler. Das Sternchen muss natürlich mit hin. Danke für den Hinweis.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner