CWAF Rules 1.13 - False Positives (update 19-June-2014)

Free Modsecurity rules - Comodo Web Application Fi
#1

False Positive #1 (Prestashop script)

ModSecurity: Access denied with code 403 (phase 2). Pattern match “(?i:[\\r \”'+/`]style[\\r +/]{0,}?=.{0,}([:=]|(&#x{0,1}0{0,}((58)|(3A)|(61)|(3D));{0,1})).{0,}?([(\\\\]|(&#x{0,1}0{0,}((40)|(28)|(92)|(5C));{0,1})))" at ARGS:description_2.

[file “/var/cpanel/cwaf/rules/cwaf_03.conf”] [line “1084”]

[id “213100”] [msg “COMODO WAF: IE XSS Filters - Attack Detected.”]

[data “Matched Data: style=\x22float: right;\x22 title=\x22eliquid diamondmist\x22 src=\x22http://www.ecigarros.pt/img/cms/flavoureliq_1.jpg\x22 alt=\x22eliquid diamondmist\x22 width=\x22218\x22 height=\x22439\x22 />

Nicotina – é uma substância estimulante e viciante do cigarro convêncional. A Diamond Mist oferce uma larga gama de teores para esta substância.

Aromatizantes – A nicotina por si s&oacute…”]

[uri “/vipadmin/index.php”]

#2

Should be fixed with rules v1.14
Thank you.

#3

Access denied with code 403 (phase 2). Pattern match “\\bonclick\\b[^a-zA-Z0-9_]{0,}?=” at ARGS:txt_l1.
False Positive #2

Access denied with code 403 (phase 2). Pattern match “\\bonclick\\b[^a-zA-Z0-9_]{0,}?=” at ARGS:txt_l1.

[file “/var/cpanel/cwaf/rules/cwaf_03.conf”] [line “735”]

[id “212640”] [msg “COMODO WAF: Cross-site Scripting (XSS) Attack”]

[data "Matched Data: onclick= found within ARGS:txt_l1:


<span style=\x22color: #000000\x22>opções de envio para portugal continental (não efetuamos envios para o estrangeiro)

<span style=\x22color: #000000\x22>(não fazemos envios à cobrança)

<…"]

[severity “CRITICAL”] [uri “/bo/frames/textos/editar_texto2.php”]

#4

False Positive #3 and #4

Access denied with code 403 (phase 2). Pattern match “(asfunction|data|javascript|livescript|mocha|vbscript):” at ARGS:observacoes.

[file “/var/cpanel/cwaf/rules/cwaf_03.conf”] [line “839”]
[id “212770”] [msg “COMODO WAF: XSS Attack Detected”]

[data “Matched Data: data: found within ARGS:observacoes:

multicache:nº1marcogeológicopraiadevigianº2cemitériodemelidesnº3fontedosolhoslocaisdeinteresse(patrimonioconstruido,paisagensetc;):lagoademelides,cemitériodemelidesefontedosolhos.transportesehorariospublicos(taxisebus):autocarrorodoviária/táxisoutrosapoios(sos,etc,):gnrdegrândola:269441311hospitaldolitoralalentejanotel:269818100unidadelocaldesaúdedolitoralalentejano,montedogilbardino7540-2…”]

[uri “/gestao/percursosmod.php”]

Access denied with code 403 (phase 2). Pattern match “(?i:[\\r \”'+/`]style[\\r +/]{0,}?=.{0,}([:=]|(&#x{0,1}0{0,}((58)|(3A)|(61)|(3D));{0,1})).{0,}?([(\\\\]|(&#x{0,1}0{0,}((40)|(28)|(92)|(5C));{0,1})))" at ARGS:enquadramento.

[file “/var/cpanel/cwaf/rules/cwaf_03.conf”] [line “1117”]
[id “213100”] [msg “COMODO WAF: IE XSS Filters - Attack Detected.”]

[data “Matched Data: style=\x22float: right;\x22 src=\x22http://www.achale.pt/imagens/ferreiradoalentejo.jpg\x22 alt=\x22\x22 width=\x22238\x22 height=\x22195\x22 />O concelho de Ferreira do Alentejo, do distrito de Beja, localiza-se no Baixo Alentejo. Ocupa uma área de 646,1 km2 e abrange seis freguesias: Alfundão, Canhestros, Ferreira do Alentejo, Figueira dos Cavaleiros, Odivelas e Peroguarda.
O concelho encontra-se limitado a norte por Alvito e Alcácer do Sal ( found within ARGS:e…”]

[uri “/gestao/concelhosmod.php”]