Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ajax/Postback issues with WAF

dcline97
Hi Everyone,

We run Customer and Sales portals on a dedicated server and I am trying to get the WAF to function correctly.  Basically I am stuck with an AJAX/Postback issue.  These sites are AJAX based ASP.NET and my issue is that postbacks seem to be dropped by the WAF.  For example there might be a combobox for STATE on the page and once you select a state a postback occurs and all available CITIES are loaded into the City combobox.  When running thru the WAF the city combobos will not load.  Any postback round trip to the server seems to get dropped.

The WAF documentation is pretty weak and Sophos support says I need to open up a professional services engagement to get it working.  We are not doing anything special with these sites, it's run-of-the-mill .NET/Ajax so I am perplexed that there are no out of the box settings for the WAF that would deal with this.

After some googling I've seen a couple of threads from a few years ago on a similar topic and it looked like they had to set up some rule exclusions.  Unfortunately I cannot find any documentation on all the rules the WAF uses.  Is ModSecurity used for the WAF and if so does anyone have any idea what collection of rules are being used?

Any thoughts on how to proceed on thus (other that down the professional services road)?

Thanks in advance,

Dave Cline


This thread was automatically locked due to age.
  • 0
    Hi, Dave, and welcome to the User BB!

    The reverse proxy is relatively new here.  My normal approach is to start with the 'Basic Protection' profile, then try adding restrictions.  Let's look at the Web Application Firewall Live Log when trying a combobox.  Post the group of lines that contains an interesting line or two.

    ModSecurity is, indeed, what's in use.  If you're knowledgable about it, you can find the rules listed in /etc/modsecurity.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    You can also get the specific rule numbers being triggered by running a Webserver Protection Details Top Rules report.  You can then take those rule numbers to create your exceptions.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I already am using the basic protection profile.  Since I have to take the portals offline to test, I will do it after hours this evening and report back what I find out.

    Thanks!

    Dave
  • 0
    Actually, I just took a peek at the top rules from the last time I was testing (last week) and sure enough here's what was listed!

    973338 - XSS Filter - Category 3: Javascript URI Vector

    I will try adding this rule to the exclusions and let you know what I find out.
  • 0
    UPDATE:  After turning off cookie signing and adding one rule exception it seems to be working.  It's been running for 24 hours now and we have had a lot of activity.  I do see a small performance hit from the user side, but at this point it is acceptable.

    I have been checking out the activity logs and see a fair amount of pattern match/SQL Injection alerts (id 981173).  However, the portals are running find and we have not had any customer complaints.  Are WARNINGS just that, no further action was taken?

    Thanks,

    Dave
  • 0
    also... we are running 9.204-20 and I have seen a number of WAF-related posts mentioning crashes.  I have not experienced any so far... Any word on 9-205-12 yet?

    Dave
Unfiltered HTML