<![CDATA[Latest posts for the topic "Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP"]]> /hvaonline/posts/list/31.html JForum - http://www.jforum.net Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP Code:
<html><head><title>Request Rejected</title></head><body>The requested URL was rejected. Please consult with your administrator.<br><br>Your support ID is: 12589574903111794332</body></html>
Tuy nhiên, response trả về sẽ là một tcp RST và Acunetix 8.0 nhận được response header như sau: Code:
HTTP/1.1 200 OK
Cache-Control: no-cache
Connection: close
Pragma: no-cache
Content-Length: 189
Mình nghĩ, với các HTTP code 200 như trên là lý do Acunetix vẫn cho rằng, request fuzzing nó gửi đi thành công và có thể exploit được, do đó trong kết quả nó vẫn liệt kê đó là một sec hole. Trong báo cáo thì mình muốn nó "sạch", tức là không có report "nhầm" như đề cập ở trên. Các anh/chị hay bạn nào có kinh nghiệm làm việc với F5-ASM thì cho mình chỉ dẫn khắc phục với. Có thể cấu hình chỉnh sửa HTTP response thành 403 hay không? Nếu không, có thể drop cái response này không ? Nếu vẫn không, thì còn có giải pháp nào khác ? Xin cảm ơn mọi người. ]]>
/hvaonline/posts/list/44076.html#272415 /hvaonline/posts/list/44076.html#272415 GMT
Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP /hvaonline/posts/list/44076.html#272424 /hvaonline/posts/list/44076.html#272424 GMT Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP /hvaonline/posts/list/44076.html#272467 /hvaonline/posts/list/44076.html#272467 GMT Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP

conmale wrote:
Tớ hơi thắc mắc vài điểm. 2. Nếu "response trả về sẽ là một tcp RST" thì hơi khó hiểu vì RST là một packet ở IP level thì làm sao lại hình thành được cái response với status 200?  
Trong response trên, như bác đã thấy, connection: close. Do đó rõ ràng là ASM đã notify rằng kết nối tcp sẽ được đóng ngay khi response này hoàn thành. Như vậy có lẽ là sau khi ASM gửi lại http response trên, firewall sẽ gửi tiếp một tcp RST để ngắt kết nối của client hiện tại này. Lập luận của em có bị sai không ạ :^) ]]>
/hvaonline/posts/list/44076.html#272522 /hvaonline/posts/list/44076.html#272522 GMT
Xin trợ giúp về module ASM của thiết bị firewall F5 Big-IP

docphongm41 wrote:

conmale wrote:
Tớ hơi thắc mắc vài điểm. 2. Nếu "response trả về sẽ là một tcp RST" thì hơi khó hiểu vì RST là một packet ở IP level thì làm sao lại hình thành được cái response với status 200?  
Trong response trên, như bác đã thấy, connection: close. Do đó rõ ràng là ASM đã notify rằng kết nối tcp sẽ được đóng ngay khi response này hoàn thành. Như vậy có lẽ là sau khi ASM gửi lại http response trên, firewall sẽ gửi tiếp một tcp RST để ngắt kết nối của client hiện tại này. Lập luận của em có bị sai không ạ :^)  
Đã gởi một response 200 rồi thì sau khi client nhận được thông điệp thì 2 đầu connnection đóng (bằng FIN) một cách hợp lệ. Lúc đó có gởi thêm RST cũng chẳng để làm gì. Thực sự, gởi RST khơi khơi như vậy bị rơi vào "INVALID" state và client cũng chẳng nhận được. Còn với comment trên của em thì có 2 chuyện: 1. ASM của thiết bị firewall F5 Big-IP gởi một cái response 200 khi detect XSS. 2. Acunetix dự phỏng nhận 403. Không may, hai cái trên không liên quan gì nhau và cũng chẳng tích hợp gì với nhau cho nên khó lòng mà thay đổi "thái độ" của một trong hai để thoả mãn cả hai. Nếu muốn dùng một công cụ ngoại biên như Acunetix để đánh giá tính bảo mật trong trường hợp này thì kẹt vì nó chẳng còn ý nghĩa "vulnerability detection" vì ASM đã làm chuyện này rồi. Cách tốt nhất là thu thập kết quả từ chính ASM cho mục đích report.]]>
/hvaonline/posts/list/44076.html#272527 /hvaonline/posts/list/44076.html#272527 GMT