NAXSI_FMT et NAXSI_EXLOG / règle ID 11
82 views
Skip to first unread message
r0m5...@gmail.com
Feb 10, 2014, 10:49:00 AM2/10/14
to naxsi-...@googlegroups.com
Bonjour,
J'ai deux questions concernant le fonctionnement de naxsi, en espérant que quelqu'un puisse éclairer ma lanterne.
1) Certains évènements apparaissent dans les logs au format NAXSI_EXLOG: sans pour autant apparaître au format NAXSI_FMT:. Est-ce bien le comportement attendu ? Peut-être est-ce dû au fait que NAXSI_EXLOG: loggue tout ce qui matche les règles alors que NAXSI_FMT: ne loggue que lorsqu'un score du type CheckRule "$SQL >= 8" BLOCK; est atteint.
En fait je pose la question car ce qui me perturbe est que les whitelists proposées par nx_util.py ne sont pas les mêmes suivant qu'on loggue NAXSI_EXLOG ou pas. Vaut-il mieux utiliser nx_util.py avec ou sans NAXSI_EXLOG: pour générer les whitelists ?
Exemple : (la règle 1002 augmente $SQL de 2 et on ne bloque que si $SQL>=8)
2014/02/10 16:11:22 [debug] 3692#0: *23963 NAXSI_EXLOG: ip=X.X.X.X&server=server.acme.com&uri=/uri&id=1002&zone=ARGS&var_name=data&content=iYtOXvg
2) J'ai souvent une règle avec l'id 11 qui est matchée. Le soucis, c'est que dans le fichier /etc/nginx/naxsi_core.rules je n'ai pas de règle définie avec l'id 11. J'ai bien vu sur cette liste que ça correspondait à une règle interne, mais comment savoir selon quels critères elle matche exactement ? Dans l'exemple ci-dessous par exemple il n'y a pas de content.
2014/02/10 14:28:38 [debug] 16196#0: *22280 NAXSI_EXLOG: ip=X.X.X.X&server=server.acme.com&uri=/searchajax/history&id=11&zone=BODY&var_name=&content=
J'utilise le paquet debian wheezy-backports.
nginx-naxsi: Installé : 1.4.4-1~bpo70+1
Il faut aller voir jusque dans les sources pour trouver la version de naxsi visiblement utilisée par ce paquet : (naxsi.h) #define NAXSI_VERSION "0.50"
Romain
J'ai deux questions concernant le fonctionnement de naxsi, en espérant que quelqu'un puisse éclairer ma lanterne.
1) Certains évènements apparaissent dans les logs au format NAXSI_EXLOG: sans pour autant apparaître au format NAXSI_FMT:. Est-ce bien le comportement attendu ? Peut-être est-ce dû au fait que NAXSI_EXLOG: loggue tout ce qui matche les règles alors que NAXSI_FMT: ne loggue que lorsqu'un score du type CheckRule "$SQL >= 8" BLOCK; est atteint.
En fait je pose la question car ce qui me perturbe est que les whitelists proposées par nx_util.py ne sont pas les mêmes suivant qu'on loggue NAXSI_EXLOG ou pas. Vaut-il mieux utiliser nx_util.py avec ou sans NAXSI_EXLOG: pour générer les whitelists ?
Exemple : (la règle 1002 augmente $SQL de 2 et on ne bloque que si $SQL>=8)
2014/02/10 16:11:22 [debug] 3692#0: *23963 NAXSI_EXLOG: ip=X.X.X.X&server=server.acme.com&uri=/uri&id=1002&zone=ARGS&var_name=data&content=iYtOXvg
2) J'ai souvent une règle avec l'id 11 qui est matchée. Le soucis, c'est que dans le fichier /etc/nginx/naxsi_core.rules je n'ai pas de règle définie avec l'id 11. J'ai bien vu sur cette liste que ça correspondait à une règle interne, mais comment savoir selon quels critères elle matche exactement ? Dans l'exemple ci-dessous par exemple il n'y a pas de content.
2014/02/10 14:28:38 [debug] 16196#0: *22280 NAXSI_EXLOG: ip=X.X.X.X&server=server.acme.com&uri=/searchajax/history&id=11&zone=BODY&var_name=&content=
J'utilise le paquet debian wheezy-backports.
nginx-naxsi: Installé : 1.4.4-1~bpo70+1
Il faut aller voir jusque dans les sources pour trouver la version de naxsi visiblement utilisée par ce paquet : (naxsi.h) #define NAXSI_VERSION "0.50"
Romain
bui
Feb 11, 2014, 4:48:54 AM2/11/14
to naxsi-discuss
Bonjour,
1) Certains évènements apparaissent dans les logs au format NAXSI_EXLOG: sans pour autant apparaître au format NAXSI_FMT:. Est-ce bien le comportement attendu ? Peut-être est-ce dû au fait que NAXSI_EXLOG: loggue tout ce qui matche les règles alors que NAXSI_FMT: ne loggue que lorsqu'un score du type CheckRule "$SQL >= 8" BLOCK; est atteint.
Oui, c'est exact, NAXSI_EXLOG apparait lorsqu'une règle matche, indépendament des CheckRules.
En fait je pose la question car ce qui me perturbe est que les whitelists proposées par nx_util.py ne sont pas les mêmes suivant qu'on loggue NAXSI_EXLOG ou pas. Vaut-il mieux utiliser nx_util.py avec ou sans NAXSI_EXLOG: pour générer les whitelists ?
En revanche ce point me parait bizarre : de mémoire, nx_util s'appuye sur le EXLOG uniquement à des fins de "display", à savoir afficher le contenu d'un des patterns capturés. Le résultat devrait donc être le même !
2) J'ai souvent une règle avec l'id 11 qui est matchée. Le soucis, c'est que dans le fichier /etc/nginx/naxsi_core.rules je n'ai pas de règle définie avec l'id 11. J'ai bien vu sur cette liste que ça correspondait à une règle interne, mais comment savoir selon quels critères elle matche exactement ? Dans l'exemple ci-dessous par exemple il n'y a pas de content.
Les règles avec des IDs < 1000 sont en effet des règles "internes" de naxsi. En l'occurence, la règle 11 correspond à un BODY vide (>= 0.53-1 ou malformé). Tu pourras trouver plus d'infos sur les règles internes ici :
La version 0.50 étant assez ancienne, je te suggère de passer sur une version plus récente !
à l'avenir, merci de garder les échanges sur la ML en Anglais autant que possible.
--
You received this message because you are subscribed to the Google Groups "naxsi-discuss" group.
To unsubscribe from this group and stop receiving emails from it, send an email to naxsi-discus...@googlegroups.com.
For more options, visit https://groups.google.com/groups/opt_out.
r0m5...@gmail.com
Feb 11, 2014, 10:08:35 AM2/11/14
to naxsi-...@googlegroups.com
En ce qui concerne les résultats de nx_util, j'utilise nx_utils récupéré
dans les sources de la version 0.53-2 alors que j'utilise naxsi 0.50
fourni par le paquet nginx-naxsi de wheezy-backports. C'est peut être la
source des problèmes car c'est un peu bancal.
J'ai demandé aux mainteneurs du paquet nginx-naxsi de debian wheezy-backports si une upgrade de naxsi dans ce paquet était prévue, j'attends le retour.
Je referai des tests lorsque j'aurai à dispo lorsque le paquet debian sera upgradé, sinon je pourrai voir avec les adminsys ici pour qu'ils upgradent.
Si avec la nouvelle version j'ai bien les mêmes résultats pour nx_utils avec et sans NAXSI_EXLOG je passerai en prod :-)
Pas de soucis le prochain nouveau post sera en anglais.
Merci
Romain
J'ai demandé aux mainteneurs du paquet nginx-naxsi de debian wheezy-backports si une upgrade de naxsi dans ce paquet était prévue, j'attends le retour.
Je referai des tests lorsque j'aurai à dispo lorsque le paquet debian sera upgradé, sinon je pourrai voir avec les adminsys ici pour qu'ils upgradent.
Si avec la nouvelle version j'ai bien les mêmes résultats pour nx_utils avec et sans NAXSI_EXLOG je passerai en prod :-)
Pas de soucis le prochain nouveau post sera en anglais.
Merci
Romain
Reply all
Reply to author
Forward
0 new messages