Zabezpečení režimu označilo tuto návratovou adresu URL buckaroo jako možný útok vložením SQL

Krátké vyloučení / vy / platba / buckaroo z pravidel zabezpečení modů dohromady z ochrany s SecRule REQUEST_BASENAME '@beginsWith /you/pay' 'id:1,ctl:ruleEngine=Off', jak mohu vytvořit nastavení, které umožní URL buckaroo a bude stále blokovat škodlivé pokusy?

--74aba113-A-- [09/Aug/2019:10:02:00 +0100] XU02iPRLUgOFeK5fTjK1ewAAAAU 0.0.0.0 59104 0.0.0.0 443 --74aba113-B-- POST /you/pay/buckaroo?payment_push=fail HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: www.example.com Content-Length: 1189 Expect: 100-continue Connection: Keep-Alive --74aba113-C-- brq_amount=2251.00&brq_currency=EUR&brq_customer_name=x+xxxx&brq_description=restbedrag+xxxx&brq_invoicenumber=000001%2f9&brq_issuing_country=NL&brq_mutationtype=Processing&brq_payment=XXXXXXXXXXXXXXXXXXXXXXXXXX&brq_SERVICE_amex_CardExpirationDate=2099-09&brq_SERVICE_amex_CardNumberEnding=0000&brq_SERVICE_amex_Enrolled=U&brq_SERVICE_amex_MaskedCreditcardNumber=000000*****0000&brq_SERVICE_antifraud_Action=Warn&brq_SERVICE_antifraud_Check=Debit-+%26+Creditcard%3a+IP+rejected+payments+velocity+check&brq_SERVICE_antifraud_Details=The+count+(9)+reached+the+specified+threshold+(7)+over+period+365.00%3a00%3a00&brq_statuscode=690&brq_statuscode_detail=S005&brq_statusmessage=Error+processing+3-D+Secure%3a+SafeKey+not+available&brq_test=false&brq_timestamp=2019-08-09+10%3a48%3a58&brq_transaction_method=amex&brq_transaction_type=V036&brq_transactions=XXXXXXXXXXXXXXXDEADXXXXXXXXXXXXXXX&brq_websitekey=xxxxxxxxxx&CUST_transaction_id=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx&brq_signature=asdfasdfasdfasdfasdfasdfasdfsdf --74aba113-F-- HTTP/1.1 403 Forbidden Content-Length: 238 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=iso-8859-1 --74aba113-E--  <html><head> <title>403 Forbidden</title> </head><body> 

Forbidden

You don't have permission to access /you/pay/buckaroo on this server.

</body></html> --74aba113-H-- Message: Warning. detected SQLi using libinjection with fingerprint 'nf(1)' [file '/usr/share/modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf'] [line '68'] [id '942100'] [rev '1'] [msg 'SQL Injection Attack Detected via libinjection'] [data 'Matched Data: nf(1) found within ARGS:brq_SERVICE_antifraud_Details: The count (9) reached the specified threshold (7) over period 365.00:00:00'] [severity 'CRITICAL'] [ver 'OWASP_CRS/3.0.0'] [maturity '1'] [accuracy '8'] [tag 'application-multi'] [tag 'language-multi'] [tag 'platform-multi'] [tag 'attack-sqli'] [tag 'OWASP_CRS/WEB_ATTACK/SQL_INJECTION'] [tag 'WASCTC/WASC-19'] [tag 'OWASP_TOP_10/A1'] [tag 'OWASP_AppSensor/CIE1'] [tag 'PCI/6.5.2'] Message: Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. [file '/usr/share/modsecurity-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf'] [line '57'] [id '949110'] [msg 'Inbound Anomaly Score Exceeded (Total Score: 5)'] [severity 'CRITICAL'] [tag 'application-multi'] [tag 'language-multi'] [tag 'platform-multi'] [tag 'attack-generic'] Message: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file '/usr/share/modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf'] [line '73'] [id '980130'] [msg 'Inbound Anomaly Score Exceeded (Total Inbound Score: 5 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack Detected via libinjection'] [tag 'event-correlation'] Action: Intercepted (phase 2) Stopwatch: 1565341320248315 48158 (- - -) Stopwatch2: 1565341320248315 48158; combined=29214, p1=702, p2=28301, p3=0, p4=0, p5=210, sr=104, sw=1, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.9.2 (http://www.modsecurity.org/); OWASP_CRS/3.0.2. Server: Apache Engine-Mode: 'ENABLED' --74aba113-Z--

  • A co je řádek 68 /usr/share/modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf? Pokud se vám toto konkrétní pravidlo nelíbí, proč jej nevypnout?
  • @PatrickMevzek Chci být chráněn jinde před útoky. Zakázání je těžké.
  • Ano, ale prvním krokem by bylo pochopit, proč toto pravidlo odpovídá vašemu dotazu. A protože nevidíme pravidlo ... Zobrazují se také protokoly PCI/6.5.2 Pravděpodobně tedy pravidlo souvisí s některými požadavky PCI, které se zabývají zpracováním údajů o kreditních kartách (existuje možná část 6.5.2 v jejich dokumentaci), a pokud je tomu tak, může to znamenat, že váš způsob výměny dat není kompatibilní s PCI. ..
  • Požadavek PCI 6.5.2: kirkpatrickprice.com/video/… „Požadavek PCI 6.5.2 vyžaduje, aby vaše organizace chránila své aplikace před přetečením vyrovnávací paměti.“
  • @ PatrickMevzek je to výchozí konfigurace, která přichází s mod_security, nic jsem na tom nezměnil. Ale je to dobré vedení, které poskytujete, protože buckaroo je poskytovatel platebních služeb starosty.

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?