Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF blockiert Abfrage

XACT
Hallo,

wir haben hier folgendes Problem: Wir haben eine Webanwendung, die durch die WAF (UTM 9.107-33 im HA-Modus) geschützt wird und unter anderem Datenbankabfragen filtert.

Normalerweise sieht ein solcher Abfrage-POST mit einem Suchkriterium so aus:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278295687_at":"1"}}

Ergebnis: Abfrage funktioniert, Ergebnis wird im Browser angezeigt.

In unserem speziellen (Fehler-)Fall ist es nun so, dass eine Kombination von mehreren Suchkriterien dazu führt, dass die WAF die Abfrage blockiert.
Abfrage:

g[] Viewing_Blablabla
p wg_Bliblablubb
r[] 8e20f014-3bd5-4691-a1cc-aec32c74e85c
r[] fab6d8e2-3a73-4193-b381-09cc02b25796
r[] faf4edc3-c604-4840-8947-f34c2ae20171
r[] 1aeb2e44-e2ba-4dc5-94a7-843a3faaf72f
t 1335277975451_ta
u User123
v {"values":{"1335278045266_ct":"Blablabla","1335278160486_ct":"Blablabla (4250)","1335278295687_at":"1"}}

Ergebnis: Abfrage läuft ins Leere, an der WAF wird folgender Fehler protokolliert:

2014:01:30-13:28:56 XYZ-fw-1 reverseproxy: srcip="xx.***.***.xx" localip="yy.yyy.yyy.yy" size="251" user="-" host="xx.***.***.xx" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected" time="9094" url="/anwendung/script/client/controller/search/search.gsp" server="yy.yyy.yyy.yy" referer="webserver.domain.de/.../client.gsp

Was tun? 

Vielen Dank schonmal!
Gruß
XACT


This thread was automatically locked due to age.
Parents
  • 0
    Steht doch im Log [;)]:
    extra="Anomaly Score Exceeded (score 20): IE XSS Filters - Attack Detected"

    Der XSS-Schutz (Cross Site Scripting) schägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    Der XSS-Schutz (Cross Site Scripting) schlägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").


    Hab's hinbekommen, ein Blick ins Handbuch hilft manchmal :-)

    Der Pfad muss "/anwendung/script/client/controller/search/*" heißen (entscheidend ist das Sternchen!) - und natürlich ohne Anführungszeichen.

    Vielen Dank!

    Ungeklärt ist allerdings aus meiner Sicht noch, warum keine Block-Rules bei den Details der WAF-Protokollierung geloggt werden.
Reply
  • 0 in reply to scorpionking

    Der XSS-Schutz (Cross Site Scripting) schlägt an. Muss du entweder in deinem WAF-Firewall-Profil rausnehmen oder in den Exceptions definieren für den Pfad "/anwendung/" (evtl. reicht auch "/anwendung/script/client/controller/search/").


    Hab's hinbekommen, ein Blick ins Handbuch hilft manchmal :-)

    Der Pfad muss "/anwendung/script/client/controller/search/*" heißen (entscheidend ist das Sternchen!) - und natürlich ohne Anführungszeichen.

    Vielen Dank!

    Ungeklärt ist allerdings aus meiner Sicht noch, warum keine Block-Rules bei den Details der WAF-Protokollierung geloggt werden.
Children
  • 0 in reply to XACT
    [...](entscheidend ist das Sternchen!)[...]


    Sorry, mein Fehler. Das Sternchen muss natürlich mit hin. Danke für den Hinweis.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner