Descripción:
Un ataque puede coincidir con varias firmas.
Depende del orden de detección.
En tal caso, solo se registrará un evento de ataque para el primer partido.
Si se requiere la verificación del registro para la segunda firma, la acción de la firma se puede establecer temporalmente en ‘solo alerta’ (el valor predeterminado es ‘alert_deny’).
Se pueden mostrar los eventos de ataque de ambas firmas.
Por ejemplo,
Siguiente debe coincidir con las firmas 090501003 y 050080035 .
GET /index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo() HTTP/1.1
Solución
De forma predeterminada (‘alert_deny’), solo se registrará el evento de ataque para la firma 050080035 .
Para permitir que también se muestre el registro de la segunda firma, establezca la primera firma 050080035 en ‘alert_only’.
Luego se mostrará el registro de ataques para ambas firmas 050080035 y 090501003 .
Nota.
Verifique si la versión del paquete de firmas está actualizada, de lo contrario, es posible que no incluya todas las firmas.
Aplique el comando ‘ #execute update-now ‘ para actualizar si es necesario.
FWB_Lab # diagnose system update info
Firma FortiWeb
———-
Versión: 0.00294 <—– Verifique si la versión del paquete de firma está actualizada.