ฉันสถานการณ์ของฉัน กฎคุกกี้ SQL ถูกทริกเกอร์ แต่คุกกี้ไม่มีสิ่งที่เป็นอันตรายใน WAF ใครช่วยกรุณาบอกฉันทีว่าทำไมถึงเป็นเช่นนี้?

ฉันได้จำลองปัญหาด้วยผลบวกปลอม (บล็อกคำขอที่ถูกต้อง) โดย Rule SQLi_COOKIE จาก AWSManagedRulesSQLiRuleSet ในสภาพแวดล้อมของฉัน

WAF logs showed:
"location":"HEADER","matchedData":["ajs_user_id","=","null",";","ajs_group_id"]}]

While testing the request the following patterns were blocked:
ajs_user_id=null;
ajs_group_id=null;

curl --cookie "ajs_group_id=null;" http://example.com
<head><title>403 Forbidden</title></head>

โดยทั่วไปจะบล็อกคีย์ใด ๆ "name=null;" ใครช่วยกรุณาแนะนำฉันหากมีวิธีที่ดีกว่าในการอนุญาตให้ประมวลผลกฎเหล่านี้ในอนาคต ดูเหมือนว่า '=null;' เป็นกลไกการตั้งค่าสถานะ แต่มันหลวมมาก และไม่เฉพาะเจาะจงกับ SQL

no answer