Web Application Firewall (WAF) Blocked

TickTack · 16 Octubre 2019, 17:36 PM

Hola a todos,

al tratar de crear un post me sale este error:

Web Application Firewall (WAF) Blocked

::CAPTCHA_BOX::
Una regla de seguridad ha sido aplicada. Si crees que es un error (falso positivo) contacta con webmaster@elhacker.net. Gracias.

He pedido ayuda pero a nadie le interesa. Esto es lo último que haré.

Realmente, en comparación con otros foros, bue... mejor no escribo nada. Quizas los administradores se sientan tan ofendidos que me darán ban....

Gracias y saludos

@XSStringManolo · 16 Octubre 2019, 19:02 PM

Habrás puesto keywords banneadas por seguridad. Tipo las etiquetas script de javascript.

TickTack · 16 Octubre 2019, 20:04 PM

Hola string Manolo,

pero si queria compartir un código. Cómo lo voy a hacer si no puedo poner etiquetas script de javascript?

Gracias y saludos

MinusFour · 16 Octubre 2019, 20:11 PM

Cita de: TickTack en 16 Octubre 2019, 20:04 PM
Hola string Manolo,

pero si queria compartir un código. Cómo lo voy a hacer si no puedo poner etiquetas script de javascript?

Gracias y saludos

No deberíasi tener problema si pones el código de javascript entre etiquetas GeSHi:

Código (javascript) [Seleccionar]


alert(1);

Al menos a mi no me ha tirado ninguna alerta el WAF con algún código de JS (hasta donde tengo memoria).

#!drvy · 16 Octubre 2019, 20:44 PM

Yo en Desarrollo Web voy corrigiendo los temas donde algunos han cambiado los caracteres y se quejan del WAF, los corrijo, guardo, me salta el captcha, doy al checkbox y listo.. si que es cierto que si pones ciertas cosas, salta un error con un captcha que no se muestra y por tanto no se puede resolver lo acabo de probar, de momento podéis usar un servicio de paste tipo PASTEBIN o DEBIAN PASTE o algo similar para pegar el código y en los posts dejáis el enlace.

https://pastebin.com/
http://paste.debian.net/

Abriré un tema en el subforo de STAFF para ver que podemos hacer aunque todo depende principalmente de el-brujo.

@TickTack, entiendo que pueda ser frustrante pero no digas que nadie se interesa cuando un co-admin te ha estado intentando ayudar durante el día de ayer.

Citarl menos a mi no me ha tirado ninguna alerta el WAF con algún código de JS (hasta donde tengo memoria).

Con JS no se pero puedes hacerlo saltar muy facil con algo tipo esto:
/?id=1+union+select+1,2,3/*

Saludos

el-brujo · 17 Octubre 2019, 16:43 PM

CitarUna regla de seguridad ha sido aplicada. Si crees que es un error (falso positivo) contacta con webmaster@elhacker.net. Gracias.

No he visto que hayas enviado ningún e-mail a webmaster@elhacker.net

Son reglas del "WAF" de CloudFlare. Se pueden eliminar las reglas que den falsos positivos, no hay ningún problema. No es la primera, ni la última vez que ocurre. Hemos quitado muchas, pero CloudFlare sigue añadiendo nuevas reglas.

Sólo hay que avisar, miro el registro de error y quito la regla. No se pueden quitar muchas, porque algunas son realmente interesantes y hay muchas, muchas reglas.

Por ejemplo una regla que en principio no quitaremos es:

CitarAnomaly:Header:User-Agent - Fake Google Bot

Muchísima gente que tiene el UserAgent de GoogleBot en el navegador y no cuela... si la IP-ASN no es de Google, es falso.

@TickTack en tu caso creo que la regla que saltó fue:

Código [Seleccionar]

100008D SQLi - Benchmark Function Cloudflare Specials
100135B XSS - javascript Events Cloudflare Specials

TickTack · 18 Octubre 2019, 10:09 AM

Hola el-brujo,

muchísimas gracias por haber quitado la regla que impedía compartir códigos javascript cómo antes

.

Gracias y saludos

@XSStringManolo · 18 Octubre 2019, 11:06 AM

Cita de: TickTack en 18 Octubre 2019, 10:09 AM
Hola el-brujo,

muchísimas gracias por haber quitado la regla que impedía compartir códigos javascript cómo antes .

Gracias y saludos

Ahora funciona, puedo postear javascript.

Código (javascript) [Seleccionar]

<script>
function Inicializar()
{
var canvas = document.getElementById("Canvas1");
var gl = canvas.getContext("experimental-webgl");

gl.viewport(0, 0, canvas.width, canvas.height);
gl.clearColor(0.2, 0.2, 0, 1);
gl.clear(gl.COLOR_BUFFER_BIT);
}
</script>
<canvas id="Canvas1" width="300" height="300">
<h1>Tu navegador no soporta canvas</h1>
</canvas>
<script>window.onload=Inicializar();</script>

el-brujo · 18 Octubre 2019, 12:06 PM

Las reglas que saltan ahora no bloquean, no son "block", son "Challenge", no sé si salta el Captcha

Citar100173 · XSS, HTML Injection - Script Tag - Beta   Cloudflare Specials   Log/Simulate   WAF
100096BBASE · HTML Injection - HTML Tag - Body   Cloudflare Specials   Log   WAF
100030ARGS_STRICT · XSS - HTML Script Tag - Body   Cloudflare Specials   Challenge   WAF

@XSStringManolo · 18 Octubre 2019, 13:03 PM

Cita de: el-brujo en 18 Octubre 2019, 12:06 PM
Las reglas que saltan ahora no bloquean, no son "block", son "Challenge", no sé si salta el Captcha

En las url bloquea, en los mensajes salta captcha. El problema que yo tenía antes era que saltaba el captcha pero al completarlo volvía a redirigir en bucle a la página de completar captcha. Ahora al completar el captcha(challenge) se publica el mensaje sin volver a redirigir en bucle al challenge.