【已完成】宝塔防火墙问题

事件起因：
一向认可宝塔NGINX防火墙，每台服务器都买了专业版，还向朋友推荐。结果今天朋友找我说被黑了，注入，我说不可能啊，宝塔防火墙很好用，怎么可能还会有注入。
结果一看，原来是宝塔防火墙并不处理replace into造成的，然后临时我自己想处理下，屏蔽下URL路径中relace字符吧
发现URL字符过滤，竟然区分大小写！！！ replace屏蔽了，Replace，就没事。。。。

希望再调调吧。另外原来的正则过滤也找不到了。

现在朋友一直在黑，我还在紧急跟进处理。

宝塔技术-小强 · 发表于 2023-7-21 11:29:26

具体的日志详情能提供一下吗？

现在已经不采用正则过滤了。全部采用语言分析模块来研判SQL注入。

天星 · 发表于 2023-7-21 13:59:49

宝塔技术-小强发表于 2023-7-21 11:29
具体的日志详情能提供一下吗？

现在已经不采用正则过滤了。全部采用语言分析模块来研判SQL注入。 ...

不用日志，你们可以测试下注入语句的 replace，宝塔防火墙没过滤
其次是URL关键词屏蔽，宝塔防火墙是区分大小写的，正常应该不区分大小写
比如我屏蔽url关键字 abc，无论是 abc 还是aBc ，都应该被屏蔽，但是现在只屏蔽abc, Abc和aBc 都是可以直接过检测的。

宝塔技术-小强 · 发表于 2023-7-21 15:06:05

replace 现在是不会拦截。是需要有SQL的语法关联性才会去拦截
例如：
select replace("ping","k")

URL关键词稍后测试一下。如果存在这块的问题。应该在下个版本进行修复。

天星 · 发表于 2023-7-21 17:48:38

宝塔技术-小强发表于 2023-7-21 15:06
replace 现在是不会拦截。是需要有SQL的语法关联性才会去拦截
例如：
select replace("ping","k")

- - replace 直接就能执行，为什么非要select组合才屏蔽呢？
尽快修复吧，我朋友那边服务器都炸了，我们现在人工做的安全处理，累死T_T

宝塔技术-小强 · 发表于 2023-7-22 10:15:30

- - replace 执行了什么呢。

--replace 都不是一个完整的语句。

直接添加--replace 肯定一大堆误报啊，

天星 · 发表于 2023-7-22 14:51:15

宝塔技术-小强发表于 2023-7-22 10:15
- - replace 执行了什么呢。

--replace 都不是一个完整的语句。

就replace命令就可以执行了，和select一样，都应该被屏蔽的
实在不行，近期就先更新下url的大小写问题，我们先自行屏蔽url关键字吧

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M