Nemesida WAF + Nextcloud

Balu

New member
Добрый день!
Nexctcloud опубликован в интернет через Nginx в качестве reverse proxy + Nemesida WAF.
При загрузке в Nextcloud не вредоносных файлов (в частности, jpg, mp4, pdf и пр.) на WAF наблюдаются постоянные детекты атак SQLi, RCE методом PUT.
Помогает только включение параметра nwaf_put_body_exclude * в nwaf.conf. Есть ли варианты более корректного решения проблемы?

SQLiexample.com213.85.131.4305.07.2022 12:59:41
R U​
Body

JFIF(ICC_PROFILEmntrRGB XYZ acsp-desctrXYZdgXYZxbXYZrTRC(gTRC(bTRC(wtptcprt<mlucenUSXsRGBXYZ o8XYZ bXYZ $paraffY[XYZ -mlucenUS Google Inc. 2016CC`8";!1"A#2Qa$qBTUWX9SV48RZwx&'67Cbirv5Dstu(:EGHcFYefydgh)w!1AQaq"2RBSU#34Tr5Wb$7CVcst68vw%DGEd&'9eu?
RL

/remote.php/webdav/Screenshot_2022-07-01-16-39-54-164.jpg
Cookie

_ym_uid=165035343542514497; _ym_d=1650353435; __Host-nc_sameSiteCookielax=true; __Host-nc_sameSiteCookiestrict=true; nc_username=superuser; oc_sessionPassphrase=ndfgDFdsfuetr756wEJBtuQJAIw8ZiR90yvCHU2orBG8evQy8tBH21p6GDTwGoiI0MVcWdfg45GF38N6Z5XjWwz; oc4qorzkr84o=b4c6v8bhd3g4dii96f6jle5bfj; nc_token=WVrMNaBjFPpHcIVVrW9CG3TTL7uBTxJ0; nc_session_id=b4c6v8bhdfdg453g4dii96f6jle5bfj
User-agent

Mozilla/5.0 (Linux; Android 12;) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36
Referer

Nemesida WAF Free
Headers

Nemesida WAF Free
WAF ID

NEMESIDAWAFFREE
Request ID

e6a054ccdce84d0a99a36d3d8a66eaca
Заблокировано

Signature Analysis
Rule ID

68
Method
PUT
 

support

Well-known member
Staff member
Здравствуйте.
Это нормальное поведение т.к. зона Body также проверяется сигнатурным анализом на наличие атак. Параметр nwaf_put_body_exclude позволяет исключить обработку зоны Body для PUT-запросов, но значение * будет применяться ко всем адресам. Для исключения конкретного адреса из анализа вы можете указать его, например: nwaf_put_body_exclude *.example.com;
Также вы можете исключить некоторые (или все) сигнатуры для конкретного URL-адреса. Например: WL ID:* domain=example.com "Z:BODY|$URL:/upload.php";
Данное правило отключит обработку сигнатур в зоне теле запроса, если обращение происходило на адрес http://example.com/upload.php.
Более подробная информация о создании правил исключения доступна в соответствующем разделе руководства.
 
Last edited:

Balu

New member
Понятно, спасибо. А как можно поменять отображаемое в ЛК имя сервера example.com на свое или FQDN веб-сервера?
 

support

Well-known member
Staff member
Понятно, спасибо. А как можно поменять отображаемое в ЛК имя сервера example.com на свое или FQDN веб-сервера?
Это ограничение Free версии. Более подробная информация об ограничениях доступна в соответствующим разделе документации.
 
Top