【已完成】宝塔防火墙问题
事件起因:一向认可宝塔NGINX防火墙,每台服务器都买了专业版,还向朋友推荐。结果今天朋友找我说被黑了,注入,我说不可能啊,宝塔防火墙很好用,怎么可能还会有注入。
结果一看,原来是宝塔防火墙并不处理replace into造成的,然后临时我自己想处理下,屏蔽下URL路径中relace字符吧
发现URL字符过滤,竟然区分大小写!!!replace屏蔽了,Replace,就没事。。。。
希望再调调吧。另外原来的正则过滤也找不到了。
现在朋友一直在黑,我还在紧急跟进处理。
具体的日志详情能提供一下吗?
现在已经不采用正则过滤了。全部采用语言分析模块来研判SQL注入。 宝塔技术-小强 发表于 2023-7-21 11:29
具体的日志详情能提供一下吗?
现在已经不采用正则过滤了。全部采用语言分析模块来研判SQL注入。 ...
不用日志,你们可以测试下 注入语句的 replace,宝塔防火墙没过滤
其次是URL关键词屏蔽,宝塔防火墙是区分大小写的,正常应该不区分大小写
比如我屏蔽url关键字 abc,无论是abc 还是aBc,都应该被屏蔽,但是现在只屏蔽abc,Abc和aBc 都是可以直接过检测的。 replace 现在是不会拦截。是需要有SQL的语法关联性才会去拦截
例如:
selectreplace("ping","k")
URL关键词稍后测试一下。如果存在这块的问题。应该在下个版本进行修复。
宝塔技术-小强 发表于 2023-7-21 15:06
replace 现在是不会拦截。是需要有SQL的语法关联性才会去拦截
例如:
selectreplace("ping","k")
- - replace 直接就能执行,为什么非要select组合才屏蔽呢?
尽快修复吧,我朋友那边服务器都炸了,我们现在人工做的安全处理,累死T_T
- - replace 执行了什么呢。
--replace都不是一个完整的语句。
直接添加--replace 肯定一大堆误报啊, 宝塔技术-小强 发表于 2023-7-22 10:15
- - replace 执行了什么呢。
--replace都不是一个完整的语句。
就replace命令就可以执行了,和select一样,都应该被屏蔽的
实在不行,近期就先更新下url的大小写问题,我们先自行屏蔽url关键字吧
页:
[1]