Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 469 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS manual rule modification bug [7.302]

Scott_Klassen
Edit:  Silly me, I was setting the rule based on the ID.  Should be set by the SID. 
 
   One of the entities that frequently accesses our web site just got a new web proxy for their users.  Not certain exactly what it's doing, but since their "upgrade", I get hammered with notifications about a specific rule (set to drop) every time one of their users visits our website.  It's a frontpage rule, ID=2101.
 
Just to stop the annoyance, I created a manual rule modification, keeping the rule enabled, with action:  drop, and Notify off.  Here's the problem, I'm still getting all of the notifications and if I open up the rule for editing, the notification off checkbox is unchecked.


This thread was automatically locked due to age.
Parents
  • 0
    We were having this problem too. We have a web server behind and Astaro Security Gateway that has FrontPage Extensions installed on it. A customer was trying to update their homepage and couldn't do it. In the intrusion protection logs we saw warnings, "WEB-MISC cross site scripting attempt". 

    Disabling that rule (disabling SID=1497 in Network Security > Intrusion Protection > Advanced > Manual rule modification) allowed the customer to once again update his page. But, it seems to me that this is disabling a large chunk of Cross Site Scripting protection. Does anyone have a better way to allow FrontPage Extensions to do it's thing without disabling this rule?
Reply
  • 0
    We were having this problem too. We have a web server behind and Astaro Security Gateway that has FrontPage Extensions installed on it. A customer was trying to update their homepage and couldn't do it. In the intrusion protection logs we saw warnings, "WEB-MISC cross site scripting attempt". 

    Disabling that rule (disabling SID=1497 in Network Security > Intrusion Protection > Advanced > Manual rule modification) allowed the customer to once again update his page. But, it seems to me that this is disabling a large chunk of Cross Site Scripting protection. Does anyone have a better way to allow FrontPage Extensions to do it's thing without disabling this rule?
Children
No Data