Beiträge von rsnew

  • WAF- OWASP Firewall

    ah perfekt, gut zu wissen fürs nächste Mal, danke!


    "weit man die Firewall zurückfahren will."- hätt ich noch ne Verstädnissfrage:


    Würde diese Ausnahme nicht gleich alle Regeln mit dem Tag WEB_ATTACK/XSS aufheben?

    Code
    SecRule REQUEST_URI "@beginsWith /DEINWORDPRESSPFAD/" "id:...,phase:2,pass,nolog,t:none, \

ctl:ruleRemoveByTag=OWASP_CRS/WEB_ATTACK/XSS"


    Da wäre dann doch der Ansatz etwas besser, dass man sagt, man pickt sich genau die eine Regel raus, die die Störung verursacht. Bin mir aber auch nicht sicher ob man das Filtern kann wie bei den anderen Beispielen mit @beginsWith oder @endsWith.

  • WAF- OWASP Firewall

    Vielen Dank für deinen informativen Input!


    Ich hätte mehrere Versuche unternommen, aber leider klappt es einfach nicht. Es gibt zwei ID's die immer wieder auftauchen, sobald ich meinen Pagebuilder versuche zu nutzen:


    Code
    ModSecurity: Access denied with code 302 (phase 2). Matched "Operator `Ge' with parameter `5' against variable `TX:ANOMALY_SCORE' (Value: `5' ) [file "/etc/modsecurity.d/owasp-crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "80"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [data ""] [severity "2"] [ver "OWASP_CRS/3.3.2"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic"] [hostname "WEBLINK"] [uri "/wp-admin/admin-ajax.php"] [unique_id "1638470531"] [ref ""]

ModSecurity: Warning. Matched "Operator `Rx' with parameter `\xbc[^\xbe>]*[\xbe>]|<[^\xbe]*\xbe' against variable `ARGS:params[content]' (Value: `TEXT</strong> u (1532 characters omitted)' ) [file "/etc/modsecurity.d/owasp-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "527"] [id "941310"] [rev ""] [msg "US-ASCII Malformed Encoding XSS Filter - Attack Detected"] [data "Matched Data: \xbcdTEXTn ARGS:params[content]: TEXT (1355 characters omitted)"] [severity "2"] [ver "OWASP_CRS/3.3.2"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-tomcat"] [tag "attack-xss"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/242"] [hostname "WEBLINK"] [uri "/wp-admin/admin-ajax.php"] [unique_id "1638470531"] [ref "o33,47v2926,1458t:urlDecodeUni,t:lowercase,t:urlDecode,t:htmlEntityDecode,t:jsDecode"]
---IpYsrMLa---H--
content-type: text/html
location: /RUNCLOUD-MODSEC-WAF-BLOCKED


    Dazu habe ich deinen Rat befolgt und das bestehende File (das vorher REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example hieß) mit folgenden Lines ergänzt:

    Filename: REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

    Code
    SecRule REQUEST_URI "@endsWith /wp-admin/admin-ajax.php" "id:941310,phase:2,pass,nolog,t:none, \
        ctl:ruleRemoveByTag=OWASP_CRS/WEB_ATTACK/XSS"
SecRule REQUEST_URI "@endsWith /wp-admin/admin-ajax.php" "id:949110,phase:2,pass,nolog,t:none, \
        ctl:ruleRemoveByTag=OWASP_CRS/WEB_ATTACK/XSS"

    Ich habe dazu das @endsWith Tag hergenommen, da die Regel letztendlich für jede Webapp, die von mir angelegt wurde, greifen sollte.


    Auch die Idee mit generell POST find ich klasse!

    Hat aber bedauerlicherweise hat die Regel auch nicht gegriffen.

    Code
    SecRule REQUEST_URI "@beginsWith /home/runcloud/webapps/APNAME/" "id:941310,phase:2,allow,nolog,t:none,chain"
SecRule REQUEST_URI "!@beginsWith /home/runcloud/webapps/APNAME/wp-comments-post.php" "chain"
SeCRule REQUEST_METHOD "POST" "ctl:ruleEngine=off"
SecRule REQUEST_URI "@beginsWith /APNAME/" "id:949110,phase:2,allow,nolog,t:none,chain"
SecRule REQUEST_URI "!@beginsWith /APNAME/wp-comments-post.php" "chain"
SeCRule REQUEST_METHOD "POST" "ctl:ruleEngine=off"


    Kann das sein, dass ich die geänderte conf.example -> .conf, irgendwo in einer anderen .conf Datei einbinden muss?

  • WAF- OWASP Firewall

    Hallo Leute,


    ich hoffe es kann mir jemand zu meinem Problem weiterhelfen.

    Mir wird im Wordpress-Admin Bereich die Funktion admin-ajax.php von der Firewall (OWASP) jedes mal beim triggern blockiert. Weiß jemand mit welchen Schritten man die [uri "/wp-admin/admin-ajax.php"] auf die White-List setzen kann?


    PS: Nutze einen Root-Server mit Open Litespeed.


    LG