Non-Function #617: WAF 탐지모드 간 발생 차단 로그 - KORAIL_STORE - Redmine

Actions

Non-Function #617

closed

WAF 탐지모드 간 발생 차단 로그

Added by Jisoo Choi 4 months ago. Updated 4 months ago.

Status:

Closed

Priority:

High

Assignee:

Start date:

10/15/2024

Due date:

% Done:

0%

Estimated time:

Spent time:

Description

코레일유통 WAF 탐지모드 간 발생한 차단로그에 대해 조치가 필요하다고 합니다.
*엑셀 파일 첨부했습니다.
**10월 말 계약 만료 때문에, 가능하다면 17일(목)까지 처리한 후에 금~일에 추가 탐지 로그를 확인하고 다시 조치해야 할 것 같다고 합니다.

확인해주신 후에 혹시 조치가 불가하거나, 클라우드 쪽에 확인이 필요한 부분이 있다면 말씀해주세요 !

Files

Download all files

WAF 탐지 로그.xlsx (35.6 KB) WAF 탐지 로그.xlsx		Jisoo Choi, 10/15/2024 10:50 AM
WAF 탐지 로그_20241015.xlsx (36.1 KB) WAF 탐지 로그_20241015.xlsx		Deca Park, 10/15/2024 01:19 PM
korail-app-release-v23-20241016.zip (35.7 MB) korail-app-release-v23-20241016.zip		Deca Park, 10/16/2024 07:30 PM
WAF 탐지모드_v2.xls (763 KB) WAF 탐지모드_v2.xls		Jisoo Choi, 10/21/2024 10:59 AM

Actions

#1

Updated by Deca Park 4 months ago

File WAF 탐지 로그_20241015.xlsx added
Assignee changed from Deca Park to bryant bryant

[WAF Detection]

1.rule_name:"Abnormal HTTP Request"

WAF 탐지 로그_20241015.xlsx

Actions

#2

Updated by Deca Park 4 months ago

File deleted (~~WAF 탐지 로그_20241015.xlsx~~)

Actions

#3

Updated by Deca Park 4 months ago

File WAF 탐지 로그_20241015.xlsx WAF 탐지 로그_20241015.xlsx added
Status changed from New to Resolved
Assignee changed from bryant bryant to Jisoo Choi

[처리내용]

1.detect_basis:"[다중 사선(Slash) 문자 삽입: //]" > url:"//join/sns"

Android 앱에서 SNS 회원가입 호출시 URL에서 // 패치 (Android 앱 재배포 필요)

2.detect_basis:"[User-agent : no user agent header]" > url:"/korail/api/agent/login", url:"/korail/api/agent/store_order_count"

외부 Agent 프로그램에서 agent API 호출시 User-agent 정보가 생성 안되는 것으로 보이며 문제 없어 보임

3.나머지 탐지 항목들

문제 없어 보임

Actions

#4

Updated by Deca Park 4 months ago

File korail-app-release-real-v23-20241015.zip added

[Android APP 빌드]

versionCode 23
versionName "1.0.23"

Actions

#5

Updated by Deca Park 4 months ago

File deleted (~~korail-app-release-real-v23-20241015.zip~~)

Actions

#6

Updated by Toby Pham 4 months ago

File app-release-20241016.zip added

Actions

#7

Updated by Toby Pham 4 months ago

File deleted (~~app-release-20241016.zip~~)

Actions

#8

Updated by Toby Pham 4 months ago

File app-release-20241016.zip added

Actions

#9

Updated by Deca Park 4 months ago

File deleted (~~app-release-20241016.zip~~)

Actions

#10

Updated by Deca Park 4 months ago

File korail-app-release-v23-20241016.zip korail-app-release-v23-20241016.zip added

Actions

#11

Updated by Jisoo Choi 4 months ago

Status changed from Resolved to Closed

Actions

#12

Updated by Jisoo Choi 4 months ago

File WAF 탐지모드_v2.xls WAF 탐지모드_v2.xls added
Status changed from Closed to Feedback
Assignee changed from Jisoo Choi to Deca Park

조치 후 주말에 추가 탐지된 건이 있어서, 해당 내용의 확인을 부탁드리고 싶습니다.

1."Abnormal HTTP Request" "[다중 공백(Space) 문자 삽입: ]"

2. "CHARSET" "[쿼리/페이로드 값 제한 문자 ] (0x5D)]"

*엑셀 WAF 탐지보드_v2.xls 첨부했습니다.

지난번처럼 따로 조치가 필요 없는 경우 그렇게 회신만 하면 될 것 같고,

조치가 필요한 경우 수정 작업을 해야 할 것 같다고 합니다.

Actions

#13

Updated by Jisoo Choi 4 months ago

Status changed from Feedback to Closed

(기록)

1. "Abnormal HTTP Request"

detect_basis:"[다중 공백(Space) 문자 삽입: ]"

-> 이상 없는 로그로 보입니다.

2. "CHARSET"

detect_basis:"[쿼리/페이로드 값 제한 문자 ] (0x5D)]"

-> 제한된 특수 문자가 포함되는 경우로, 이상 없는 로그로 보입니다.

로 회신했습니다.

Actions

Also available in: Atom PDF