Nemesida WAF + Nextcloud

Balu

New member
Добрый день!
Nexctcloud опубликован в интернет через Nginx в качестве reverse proxy + Nemesida WAF.
При загрузке в Nextcloud не вредоносных файлов (в частности, jpg, mp4, pdf и пр.) на WAF наблюдаются постоянные детекты атак SQLi, RCE методом PUT.
Помогает только включение параметра nwaf_put_body_exclude * в nwaf.conf. Есть ли варианты более корректного решения проблемы?

SQLiexample.com213.85.131.4305.07.2022 12:59:41
R U​
Body

JFIF(ICC_PROFILEmntrRGB XYZ acsp-desctrXYZdgXYZxbXYZrTRC(gTRC(bTRC(wtptcprt<mlucenUSXsRGBXYZ o8XYZ bXYZ $paraffY[XYZ -mlucenUS Google Inc. 2016CC`8";!1"A#2Qa$qBTUWX9SV48RZwx&'67Cbirv5Dstu(:EGHcFYefydgh)w!1AQaq"2RBSU#34Tr5Wb$7CVcst68vw%DGEd&'9eu?
RL

/remote.php/webdav/Screenshot_2022-07-01-16-39-54-164.jpg
Cookie

_ym_uid=165035343542514497; _ym_d=1650353435; __Host-nc_sameSiteCookielax=true; __Host-nc_sameSiteCookiestrict=true; nc_username=superuser; oc_sessionPassphrase=ndfgDFdsfuetr756wEJBtuQJAIw8ZiR90yvCHU2orBG8evQy8tBH21p6GDTwGoiI0MVcWdfg45GF38N6Z5XjWwz; oc4qorzkr84o=b4c6v8bhd3g4dii96f6jle5bfj; nc_token=WVrMNaBjFPpHcIVVrW9CG3TTL7uBTxJ0; nc_session_id=b4c6v8bhdfdg453g4dii96f6jle5bfj
User-agent

Mozilla/5.0 (Linux; Android 12;) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Mobile Safari/537.36
Referer

Nemesida WAF Free
Headers

Nemesida WAF Free
WAF ID

NEMESIDAWAFFREE
Request ID

e6a054ccdce84d0a99a36d3d8a66eaca
Заблокировано

Signature Analysis
Rule ID

68
Method
PUT
 
Здравствуйте.
Это нормальное поведение т.к. зона Body также проверяется сигнатурным анализом на наличие атак. Параметр nwaf_put_body_exclude позволяет исключить обработку зоны Body для PUT-запросов, но значение * будет применяться ко всем адресам. Для исключения конкретного адреса из анализа вы можете указать его, например: nwaf_put_body_exclude *.example.com;
Также вы можете исключить некоторые (или все) сигнатуры для конкретного URL-адреса. Например: WL ID:* domain=example.com "Z:BODY|$URL:/upload.php";
Данное правило отключит обработку сигнатур в зоне теле запроса, если обращение происходило на адрес http://example.com/upload.php.
Более подробная информация о создании правил исключения доступна в соответствующем разделе руководства.
 
Last edited:
Понятно, спасибо. А как можно поменять отображаемое в ЛК имя сервера example.com на свое или FQDN веб-сервера?
 
Понятно, спасибо. А как можно поменять отображаемое в ЛК имя сервера example.com на свое или FQDN веб-сервера?
Это ограничение Free версии. Более подробная информация об ограничениях доступна в соответствующим разделе документации.
 
Back
Top