WAS/WAF exception does not work

From the admin guide/in-line help:

Paths: Add the paths that are to be exempt from the selected check(s), in the form of e.g. /products/images/*.

Don't put the domain.com, that information is already assumed.  By doing so, you're telling it to match against domain.comdomain.com/crm/admin/index.php.

try just "/crm/admin/index.php" and "/crm/admin/index.php/*"(without quotes) and see if it helps.

To see the in-line help, click on the question mark in the upper right of WebAdmin.  It will always show you the page relevant to your current location in WebAdmin.

did that previous, and again just now. but still same result. 

Forbidden

You don't have permission to access /crm/admin/index.php on this server.

i've also tried using based "web clients coming from these source network" but still same. as if it does not read the setting at all.

Odd.  I'm not seeing this when I set an exception.

You're seeing this error in the browser, not in WebAdmin correct?

I found a couple of previous posts with this same error.  The solution was to disable Cookie signing and/or URL hardening.  Some web apps are a little picky about reverse proxy features.  Although not about your CRM, the article at https://support.astaro.com/support/index.php/Outlook_Web_Access_and_Microsoft_Server_ActiveSync gives you the idea that you may need to play with settings a bit as some web apps won't play nicely with certain WAF features (cookies signing, URL hardening, and HTML rewriting/pass host header seem to be the big ones), either individually or in combination.

i did not enable for that both. currently i'm using basic protection profile, enable for XSS and SQL injection. the problem with the our application, we need to skip certain path (/crm/admin/*) for XSS.

from log :

2011:07:26-11:53:37 asg reverseproxy: [Tue Jul 26 11:53:37 2011] [error] [client x.x.x.x] ModSecurity: Warning. Operator GE matched 20 at TX:inbound_anomaly_score. [file "/usr/apache/conf/waf/REF_WAFDefaultProfileBasic.rules"] [line "367"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 200, SQLi=, XSS=200): IE XSS Filters - Attack Detected"] [hostname "www.domain.com.x"] [uri "/crm/admin/index.php"] [unique_id "Ti46QMCoYAEAAC7XBREAAABQ"] 

attached profile setup.

I'll try loading up a couple of PHP based CRM apps (Joomla and Drupal) tomorrow and see if I can replicate.

i've upgraded to latest 8.2 software.. then the exception works now..

Great to hear.  [:)]

RE: Akmal

Yeah, I think the pre 8.200 versions had a bug where the exceptions did not work correctly; I've had the same problem myself on a production asp.net site.

now i had another related problem. after upgraded to 8.200, now the WAF reporting graph/details not available.

before that the WAF can't start because it could not find GeoIP.dat, but that one has been resolved.

Somebody else posted that they were having an issue with another section of reporting.  Has to do with a problem in the 8.103-->8.200 conversion scripts.  Maybe this will help you as well.  https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71165