バージョン選択

フォーラム

メニュー

オンライン状況

24 人のユーザが現在オンラインです。 (13 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 24
もっと...

サイト内検索

質問 > フロント機能 > WAFでトークンが脆弱性に引っかかる

フロント機能

新規スレッドを追加する

スレッド表示 | 古いものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
Buchiii
投稿日時: 2021/4/24 17:11
対応状況: −−−
半人前
登録日: 2020/10/9
居住地:
投稿: 13
Re: WAFでトークンが脆弱性に引っかかる
Microsoft Azureを使ったことがないので、
異なるかもしれませんが、
AWSのAWS WAFを導入した際に基本のルール(AWS-AWSManagedRulesCommonRuleSet)を設定しても
EC-CUBE標準の各動作がルールに引っかかりブロックされてしまいます。

- 管理画面>商品CSVアップロード:リクエストBodyサイズの上限に引っかかる。
- 管理画面>コンテンツ管理>ページ管理、ブロック管理:クロスサイトスクリプティングの攻撃とみなされる

など。

私の場合では
上記の内容は攻撃でも脆弱性でもないため、AWS WAFの設定にてルールからブロックを行なった個別のルール(SizeRestrictions_BODYなど)の制限を、各画面へのアクセスに対して外すよう設定しております。

Microsoft Azureでも同じようにWAFのルールをさらに調整することが
対策の1つかもしれません。

参考になりますと幸いです。
TAKATSU
投稿日時: 2021/4/19 14:17
対応状況: −−−
新米
登録日: 2021/4/19
居住地:
投稿: 1
WAFでトークンが脆弱性に引っかかる
同様の事象が発生してる方おられましたら、
対策方法などアドバイスいただけますでしょうか?

[現象]
Microsoft Azure上にEC-CUBEを構築しています。
EC-CUBEの前にAzure Web アプリケーション ファイアウォール(WAF)を設置しています。
WAFのルールとして「OWASP 3.0」を適用していますが、
ログイン時に発行する「_csrf_token」と
カートに入れるときの「_token」が
WAFのルールにひっかかるトークンの場合があります。

一つが、「942440 SQL コメント シーケンスが検出されました。」で、トークンの中に「ハイフン(-)」が連続している場合があり、SQLインジェクションだと判断されてます。

もう一つが、「942450 SQL 16 進数エンコードが識別されました」でトークンの中に「0Xa0」などの16進数の形式の文字列が入る場合に、攻撃だとみなされてエラーとなります。

OWASP3.0のWAFを入れておられる方は、どう対処されているんでしょうか?
そもそも、EC-CUBEではこれらの脆弱性には対処できないのでしょうか?

お知恵をお貸ください。
よろしくお願いします



[EC-CUBE] 4.0.3 新規インストール
[レンタルサーバ] Microsoft Azure
[OS] Windows Server 2019
[PHP] 7.3.13
[データベース] Postgresql 10.11
[WEBサーバ] apache
[導入プラグインの有無]
商品オプションプラグイン1.0.11
ユーザー名ログインプラグイン for EC-CUBE4 1.0.1
商品並び替えプラグイン 1.0.3
スレッド表示 | 古いものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は73,068名です
総投稿数は102,121件です

投稿数ランキング

1
seasoft
7333
2
468
3078
3
AMUAMU
2712
4
nanasess
2179
5
umebius
2030
6
yuh
1612
7
red
1453
8
h_tanaka
1090
9
tsuji
936
10
fukap
907
11
shutta
835
12
tao_s
793
13 ramrun 789
14 karin 689
15 sumida 641
16
homan
633
17 DELIGHT 572
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.