SQL Injection Attack blocks login to webpage

With 9.2 the threat filtering was extended: new categories were added and also new rules were added or altered to the latest rule set.

If one or few rules conflict with your application, it is not necessary to disable SQL Injection in general, you can also just skip these rules.

Best,
 Sabine

I don't get this either - I have deploy our second 9.2 UTM with small bussiness server 2011 (Exchange 2010)

and we have this same issue? we didn't have this problem with 9.1.

However, our first 9.2 we deployed in another environment with a fully fledged Exchange 2010, this doesn't seem to have a problem??

2014:06:11-09:25:36 FEZI_SophosUTM reverseproxy: [Wed Jun 11 09:25:36.550093 2014] [security2:error] [pid 6177:tid 4063656816] [client 101.167.38.124] ModSecurity: Warning. Pattern match "(^[\"'`\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+|[\"'`\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+$)" at REQUEST_COOKIES:cadata. [file "/usr/apache/conf/waf/modsecurity_crs_sql_injection_attacks.conf"] [line "64"] [id "981318"] [rev "2"] [msg "SQL Injection Attack: Common Injection Testing Detected"] [data "Matched Data: \x22 found within REQUEST_COOKIES:cadata: \x2224CTK6Y9bTQAYpZ RteE0za4 uV/HN AF UF8iGSpLAzVpVTKLe1tQmVjSTL0/MPRWe8WWdkY I4HLd9oehfxlMk YKpJ/YH4yViI/I3gFdc=\x22"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"] [hostname "owa.domain.com"] [uri "/owa/ev.owa"] [unique_id "U5eT8MCoAQIAABghwlgAAAAI"]

I have logged a job with Sophos for this - as I don't understand what would cause this as it was working fine in 9.1 and on another UTM system it works fine.

hi there,

you must configure the "Rigid Filtering". As an example, for Outlook Webb App you must skip following filter rules:

981204
981176
960010
981173
981203
970003
960035
960904
970901
981200
981205
981260
981318
981172
981320
981319
950901
973338
973337

In your e example, you should find the id "[id "981318]" that must be added.

sorry whats ridged filtering? and where do I do this - on the UTM or exchange?

In the Firewall profile. See screenshot [;)]

The issue, I have is that I have one exchange 2010 server in Windows 2008 R2 with a UTM 9.2, and another exchange 2010 server on small bussiness 2011. 

It works fine for the proper fully installed version of exchange 2010, but the one on small bussienss 2011 I have this issue.

I have looked at the web.config for the OWA folder and everything is identical to the normal install exchanged 2010.

Why does one work with out issues and the other has issues.... im thinking there is a setting or something in IIS7 for exchange thats not the same for normal installed exchange.

I would rather figure out why this is happening rather than just by pass it.

I am having similar problems after updates. Is there a resource available where you can study what the different modsecurity rule #'s mean. Its hard to fix if you don't know or sure what is being looked at or flagged.

Nope, but you may be able to research at https://www.modsecurity.org.

Hi all,

I have had sophos come back to me with the support case I opened.

Basically, its not a configuration issue with exchange, but an advancement for the sophos platform. Instead of hiding all the rules and disabling them in 9.1. They have by default in 9.2 left them turned on as normal and allowed for the user to bypass the individual rules as required.

Under Web Protection > Firewall Profiles > [Edit the profile your using for OWA i.e Basic Protection]

Add the following numbers to the skip filter rules: 

981318
981173
981176

You don't need to tick Rigid Filtering or anything else. Click save and it should work instantly. These are the only rules I found I need to exclude so far for OWA.

see attached picture for further clarification.