Q&A
その怪しいアクセスでもない、という判断基準は何でしょうか。
そこらへんくわしくせつめいしよう
Nginxで立てたウェブサーバーにWAFとしてNAXSIを利用しています。
怪しいアクセスでもないのに思いがけずブロックされることがあり、その原因がわからず困っています。
ーーーーーー
2021/11/04 09:47:09 [error] 3098#0: *11319 NAXSI_FMT: ip=133.11.xx.xx&server=xxxxxxxxxx.ac.jp&uri=/&vers=1.3&total_processed=3410&total_blocked=378&config=block&cscore0=$SQL&score0=24&zone0=HEADERS&id0=1005&var_name0=cookie, client: 133.11.xx.xx, server: xxxxxxxxxxxx.ac.jp, request: "GET / HTTP/1.1", host: "xxxxxxx.ac.jp", referrer: "https://www.google.com/"
ーーーーーー
・uriは"/"であり、トップページへのアクセスを試みている。
・133.11.XXX.XXXは東京大学のIPアドレスである。 この2点から、怪しいアクセスではないと考えています。
id0=1005 はSQL injection対策のエラーで、uriに"|"が入っているという意味だそうです。
var_name0=cookieはクッキーに問題があるという意味だと考えていますが、クッキーはこのサイトでは特に指定していないので不思議に思っています。
なぜブロックされているのか、及びどうしたらブロックさせないようにできるのか,
ご教授いただけると幸いです。どうぞよろしくお願いいたします。
・uriは"/"であり、トップページへのアクセスを試みている。
・133.11.XXX.XXXは東京大学のIPアドレスである。
この2点から、怪しいアクセスではないと考えています。
回答1件
0
ベストアンサー
id0=1005
マッチした検査ルールのID
var_name0=cookie
問題があると判断されたパラメータ/変数名
らしい(nginx向けのWebアプリケーションファイアウォールを試す)ので、その観点で確認してみてはいかがでしょう
投稿2021/11/04 04:36
総合スコア2751
あなたの回答
tips
プレビュー
