質問 > フロント機能 > WAFでトークンが脆弱性に引っかかる |
フロント機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
TAKATSU |
投稿日時: 2021/4/19 14:17
対応状況: −−−
|
新米 登録日: 2021/4/19 居住地: 投稿: 1 |
WAFでトークンが脆弱性に引っかかる 同様の事象が発生してる方おられましたら、
対策方法などアドバイスいただけますでしょうか? [現象] Microsoft Azure上にEC-CUBEを構築しています。 EC-CUBEの前にAzure Web アプリケーション ファイアウォール(WAF)を設置しています。 WAFのルールとして「OWASP 3.0」を適用していますが、 ログイン時に発行する「_csrf_token」と カートに入れるときの「_token」が WAFのルールにひっかかるトークンの場合があります。 一つが、「942440 SQL コメント シーケンスが検出されました。」で、トークンの中に「ハイフン(-)」が連続している場合があり、SQLインジェクションだと判断されてます。 もう一つが、「942450 SQL 16 進数エンコードが識別されました」でトークンの中に「0Xa0」などの16進数の形式の文字列が入る場合に、攻撃だとみなされてエラーとなります。 OWASP3.0のWAFを入れておられる方は、どう対処されているんでしょうか? そもそも、EC-CUBEではこれらの脆弱性には対処できないのでしょうか? お知恵をお貸ください。 よろしくお願いします [EC-CUBE] 4.0.3 新規インストール [レンタルサーバ] Microsoft Azure [OS] Windows Server 2019 [PHP] 7.3.13 [データベース] Postgresql 10.11 [WEBサーバ] apache [導入プラグインの有無] 商品オプションプラグイン1.0.11 ユーザー名ログインプラグイン for EC-CUBE4 1.0.1 商品並び替えプラグイン 1.0.3 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
» WAFでトークンが脆弱性に引っかかる | TAKATSU | 2021/4/19 14:17 |
Re: WAFでトークンが脆弱性に引っかかる | Buchiii | 2021/4/24 17:11 |
Re: WAFでトークンが脆弱性に引っかかる | balisys | 2022/12/30 18:35 |