Блокировка запросов с GET-параметрами от бэкенда

K

kris

Member
Здравствуйте!
Подскажите, пожалуйста, почему при попытке обращения к домену блокируются запросы с валидными GET-параметрами, инициированные бэкендом? Как решить эту проблему? Могу приложить скрин из админки в личные сообщения на почту

Пример:
я обращаюсь по url к домену https://example.com/
и что я получаю в админке немесиды:
Blocked by - Signature Analysis
Rule ID - 2763
Method - GET (валидные запросы от бэкенда)
Path - /example/examle.com
 
Добрый день!

В вашем случае блокировка запроса произошла из-за срабатывания сигнатуры 2763. С составом сигнатуры Вы можете ознакомиться или на нашем сайте, где опубликована информация обо всех сигнатурах, применяемых в Немезида ВАФ, или в Личном кабинете, кликнув на номер сигнатуры в информации о запросе.

Также, при развороте информации о запросе, будет красным выделена зона, где была выявлена сигнатура, которая привела к блокировке запроса. Обратите внимание на эту зону и проанализируйте ее содержимое для сопоставления с сигнатурой, которая сработала.
 
support said:
Добрый день!

В вашем случае блокировка запроса произошла из-за срабатывания сигнатуры 2763. С составом сигнатуры Вы можете ознакомиться или на нашем сайте, где опубликована информация обо всех сигнатурах, применяемых в Немезида ВАФ, или в Личном кабинете, кликнув на номер сигнатуры в информации о запросе.

Также, при развороте информации о запросе, будет красным выделена зона, где была выявлена сигнатура, которая привела к блокировке запроса. Обратите внимание на эту зону и проанализируйте ее содержимое для сопоставления с сигнатурой, которая сработала.
Click to expand...
Это уже было сделано, валидный запрос действительно попал под шаблон сигнатуры. Но, просто выключив сигнатуру, будет вероятность пропустить атаки. Возможно, есть вариант отключить проверку для запросов от определенных источников? (nwaf_ip_lm <ip> почему-то не сработал)
 
kris said:
Это уже было сделано, валидный запрос действительно попал под шаблон сигнатуры. Но, просто выключив сигнатуру, будет вероятность пропустить атаки. Возможно, есть вариант отключить проверку для запросов от определенных источников? (nwaf_ip_lm <ip> почему-то не сработал)
Click to expand...
Если вы добавили опцию nwaf_ip_lm, то запросы с IP-адреса не будут блокироваться (даже если содержали сигнатуры), но записи о срабатывании сигнатуры будут отображаться в логе веб-сервера /var/log/nginx/error.log. В случае, если после добавления опции и перезапуска веб-сервера с подключенным динамическим модулем у вас продолжаются блокировки, то наиболее вероятной причиной будет неправильное использование опции nwaf_ip_lm.

Проверьте:
1. соответствует ли содержимое опции nwaf_ip_lm формату записи из руководства;
2. корректные ли заданы значения для этой опции. Сравните, с какого IP-адреса поступают запросы (через стандартный лог /var/log/nginx/access.log или используемый у вас) и нет ли ошибок/опечаток в опции nwaf_ip_lm.
 
support said:
Если вы добавили опцию nwaf_ip_lm, то запросы с IP-адреса не будут блокироваться (даже если содержали сигнатуры), но записи о срабатывании сигнатуры будут отображаться в логе веб-сервера /var/log/nginx/error.log. В случае, если после добавления опции и перезапуска веб-сервера с подключенным динамическим модулем у вас продолжаются блокировки, то наиболее вероятной причиной будет неправильное использование опции nwaf_ip_lm.

Проверьте:
1. соответствует ли содержимое опции nwaf_ip_lm формату записи из руководства;
2. корректные ли заданы значения для этой опции. Сравните, с какого IP-адреса поступают запросы (через стандартный лог /var/log/nginx/access.log или используемый у вас) и нет ли ошибок/опечаток в опции nwaf_ip_lm.
Click to expand...
Спасибо за ответ, действительно был немного не тот синтаксис!
 
You must log in or register to reply here.
Back
Top