[Owasp-naxsi-project] not correctly breaking up url parameters?

Schwaiger, Markus (KVB - München) Markus.Schwaiger at kvb.de
Wed Jul 2 10:35:50 UTC 2014


Hi,

in my log I get the following naxsi Exception:

2014/06/05 14:52:03 [debug] 22018#0: *91701867 NAXSI_EXLOG: ip=xxx.xxx.xxx.xxx&server=xxx.de&uri=/xxx/&id=1009&zone=ARGS&var_name=_rootcontext&content=false%26_uriok=https://anyurl

ID 1009 denotes the following rule: MainRule "str:=" "msg:equal in var, probable sql/xss" "mz:ARGS|BODY" "s:$SQL:2" id:1009;

This interpretation in the exception is wrong, since _rootcontext and _uriok are different parameters. The Request must be read as: ...?_rootcontext=false&_uriok=https://anyurl

It seems, naxsi does not correctly normalize the request before parsing it.


Cheers

Markus

---------------------------------------------------------------------------
Wichtiger Hinweis an alle Mitglieder der KVB:
Interessiert an elektronischer Nachrichtenübermittlung von der KVB?
Eröffnen Sie Ihr individuelles KVB-Postfach! Mehr Informationen unter 
http://www.kvb.de/de/praxis/online-angebote/kvb-postfach.html

Disclaimer:
Bitte beachten Sie: die obige Mitteilung ist ausschließlich für die in den
Adresszeilen benannten Personen bestimmt und enthält möglicherweise
vertrauliche Informationen. Sollten Sie diese Nachricht fälschlicherweise
erhalten haben, informieren Sie bitte den Absender. Bitte löschen Sie
die Nachricht und sehen Sie davon ab, die Inhalte zu nutzen,
aufzubewahren, weiterzuleiten oder zu reproduzieren.

Virenschutz:
Unser Unternehmen verfügt über eine funktionierende Anti-Viren-
Software und prüft jede abgesendete Email und deren Anhänge auf
Viren. Trotzdem können wir nicht garantieren, dass die Email virenfrei
ist und übernehmen keine Haftung für Schäden, die aus Viren entstehen.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-naxsi-project/attachments/20140702/147feef2/attachment.html>


More information about the Owasp-naxsi-project mailing list