バージョン選択

フォーラム

メニュー

オンライン状況

84 人のユーザが現在オンラインです。 (73 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 84
もっと...

サイト内検索

質問 > フロント機能 > WAFでトークンが脆弱性に引っかかる

フロント機能

新規スレッドを追加する

フラット表示 前のトピック | 次のトピック
投稿者 スレッド
TAKATSU
投稿日時: 2021/4/19 14:17
対応状況: −−−
新米
登録日: 2021/4/19
居住地:
投稿: 1
WAFでトークンが脆弱性に引っかかる
同様の事象が発生してる方おられましたら、
対策方法などアドバイスいただけますでしょうか?

[現象]
Microsoft Azure上にEC-CUBEを構築しています。
EC-CUBEの前にAzure Web アプリケーション ファイアウォール(WAF)を設置しています。
WAFのルールとして「OWASP 3.0」を適用していますが、
ログイン時に発行する「_csrf_token」と
カートに入れるときの「_token」が
WAFのルールにひっかかるトークンの場合があります。

一つが、「942440 SQL コメント シーケンスが検出されました。」で、トークンの中に「ハイフン(-)」が連続している場合があり、SQLインジェクションだと判断されてます。

もう一つが、「942450 SQL 16 進数エンコードが識別されました」でトークンの中に「0Xa0」などの16進数の形式の文字列が入る場合に、攻撃だとみなされてエラーとなります。

OWASP3.0のWAFを入れておられる方は、どう対処されているんでしょうか?
そもそも、EC-CUBEではこれらの脆弱性には対処できないのでしょうか?

お知恵をお貸ください。
よろしくお願いします



[EC-CUBE] 4.0.3 新規インストール
[レンタルサーバ] Microsoft Azure
[OS] Windows Server 2019
[PHP] 7.3.13
[データベース] Postgresql 10.11
[WEBサーバ] apache
[導入プラグインの有無]
商品オプションプラグイン1.0.11
ユーザー名ログインプラグイン for EC-CUBE4 1.0.1
商品並び替えプラグイン 1.0.3
フラット表示 前のトピック | 次のトピック


題名 投稿者 日時
 » WAFでトークンが脆弱性に引っかかる TAKATSU 2021/4/19 14:17
     Re: WAFでトークンが脆弱性に引っかかる Buchiii 2021/4/24 17:11
     Re: WAFでトークンが脆弱性に引っかかる balisys 2022/12/30 18:35

 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,301名です
総投稿数は109,692件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.