Hallo,
wir haben hier folgendes Problem: Wir haben eine Webanwendung, die durch die WAF (UTM 9.107-33 im HA-Modus) geschützt wird und unter anderem Datenbankabfragen filtert.
Normalerweise sieht ein solcher Abfrage-POST mit einem Suchkriterium so aus:
g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278295687_at":"1"}}
Ergebnis: Abfrage funktioniert, Ergebnis wird im Browser angezeigt.
In unserem speziellen (Fehler-)Fall ist es nun so, dass eine Kombination von mehreren Suchkriterien dazu führt, dass die WAF die Abfrage blockiert.
Abfrage:
g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278160486_ct":"Blablabla (4250)","1335278295687_at":"1"}}
Ergebnis: Abfrage läuft ins Leere, an der WAF wird folgender Fehler protokolliert:
2014:01:30-13:28:56 XYZ-fw-1 reverseproxy: srcip="xx.***.***.xx" localip="yy.yyy.yyy.yy" size="251" user="-" host="xx.***.***.xx" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected" time="9094" url="/anwendung/script/client/controller/search/search.gsp" server="yy.yyy.yyy.yy" referer="webserver.domain.de/.../client.gsp
Was tun?
Vielen Dank schonmal!
Gruß
XACT
This thread was automatically locked due to age.
