我的场景 SQL cookie 规则被触发,但 cookie 中没有任何恶意 WAF。谁能告诉我这是为什么?
我已经在我的环境中通过来自 AWSManagedRulesSQLiRuleSet 的规则 SQLi_COOKIE 复制了误报(阻止有效请求)的问题。
WAF logs showed:
"location":"HEADER","matchedData":["ajs_user_id","=","null",";","ajs_group_id"]}]
While testing the request the following patterns were blocked:
ajs_user_id=null;
ajs_group_id=null;
curl --cookie "ajs_group_id=null;" http://example.com
<head><title>403 Forbidden</title></head>
Basically it blocks any Key "name=null;"
如果有更好的方法允许将来处理这些规则,有人可以建议我吗?看起来 '=null;' 是标记机制,但它非常松散并且不特定于 SQL。
我们每天只花大约 1/2 的时间来追查同一个问题。 这个特定的 cookie 似乎是由 Segment 的 Analytics.js 设置的
如果这是 Segment 应该阻止他们的脚本允许的事情和/或 AWS 的 WAF 规则应该允许的事情,我们会很纠结。
目前,我们只是删除了那个单一的子规则。