Длинный выстрел, но здесь все идет:)
Оборудование: FortiAD C 1500D, V5.3
При попытке применить WLF LLB (высокий уровень безопасности) мы заметил, что несколько страниц входа заблокированы этим. Изучив журналы, мы обнаружили запись, в которой говорится следующее:
ИД атаки: 1002006104 ИМЯ: "Веб-приложение DMXReady Secure Login Manager SQL Попытка инъекции - вход в систему. asp отправлено" КАТЕГОРИЯ: "SQL Инъекция" SUB_CATEGORY: "Общие SQL Инъекция"
Подпись, которая блокирует запрос, имеет следующее описание:
после нормализации пути, проверьте, содержит ли request_line логин . asp, и отправленные аргументы могут совпадать с повторным созданием переименовать усеченную загрузку изменить как удаление удалить вставку des des c выбрать показывать верхнюю отличную от двойной, где группа по порядку с предельным значением смещения объединение rownum как case
найдено в : (URI_NORMALIZE) & (QUERY_STRING)
Если я не ошибаюсь, это говорит о том, что любая комбинация login.aspx со словами re, create, as, ... заблокирует запрос. Сначала я думал, что он попытается сопоставить значения со значениями строки запроса (ie, он будет соответствовать? T = as, но не? Past = never), но кажется, что он просто заблокирует любую комбинацию, где URI - это login.aspx, и в строку запроса встроено одно из этих слов (ie, оно блокирует login.aspx? Past = no из-за слова as).
Имеет ли это смысл? Любые советы о том, как решить эту проблему? Должны ли мы снизить уровень безопасности? Отключить эту подпись?
Спасибо.