From Markus.Schwaiger at kvb.de Wed Jul 2 10:35:50 2014 From: Markus.Schwaiger at kvb.de (=?iso-8859-1?Q?Schwaiger=2C_Markus_=28KVB_-_M=FCnchen=29?=) Date: Wed, 2 Jul 2014 10:35:50 +0000 Subject: [Owasp-naxsi-project] not correctly breaking up url parameters? Message-ID: Hi, in my log I get the following naxsi Exception: 2014/06/05 14:52:03 [debug] 22018#0: *91701867 NAXSI_EXLOG: ip=xxx.xxx.xxx.xxx&server=xxx.de&uri=/xxx/&id=1009&zone=ARGS&var_name=_rootcontext&content=false%26_uriok=https://anyurl ID 1009 denotes the following rule: MainRule "str:=" "msg:equal in var, probable sql/xss" "mz:ARGS|BODY" "s:$SQL:2" id:1009; This interpretation in the exception is wrong, since _rootcontext and _uriok are different parameters. The Request must be read as: ...?_rootcontext=false&_uriok=https://anyurl It seems, naxsi does not correctly normalize the request before parsing it. Cheers Markus --------------------------------------------------------------------------- Wichtiger Hinweis an alle Mitglieder der KVB: Interessiert an elektronischer Nachrichten?bermittlung von der KVB? Er?ffnen Sie Ihr individuelles KVB-Postfach! Mehr Informationen unter http://www.kvb.de/de/praxis/online-angebote/kvb-postfach.html Disclaimer: Bitte beachten Sie: die obige Mitteilung ist ausschlie?lich f?r die in den Adresszeilen benannten Personen bestimmt und enth?lt m?glicherweise vertrauliche Informationen. Sollten Sie diese Nachricht f?lschlicherweise erhalten haben, informieren Sie bitte den Absender. Bitte l?schen Sie die Nachricht und sehen Sie davon ab, die Inhalte zu nutzen, aufzubewahren, weiterzuleiten oder zu reproduzieren. Virenschutz: Unser Unternehmen verf?gt ?ber eine funktionierende Anti-Viren- Software und pr?ft jede abgesendete Email und deren Anh?nge auf Viren. Trotzdem k?nnen wir nicht garantieren, dass die Email virenfrei ist und ?bernehmen keine Haftung f?r Sch?den, die aus Viren entstehen. -------------- next part -------------- An HTML attachment was scrubbed... URL: