相対パス記述のジョブフローが保存できない

フォローする

maruhiro

• 2023年07月27日 09:24

親ディレクトリを相対パスで記述して保存しようとすると

403 Forbidden

と表示されて保存できません。対処方法はありますでしょうか。

以下ジョブフローの最もシンプルな記述例

print(../)

 

kompiraバージョン：1.6.8 post1
OS：Red Hat Enterprise Linux release 8.8 (Ootpa)
使用ブラウザ：Firefox、Microsoft Edge
システム構成：冗長構成（AWS）

 

0

• 正式なコメント

  

  Permanently deleted user

  • 2023年07月27日 11:51

  print(../) 

  という内容のジョブフローが保存できない、ということでしょうか？

  弊社内で確認してみたところ、特に問題無く保存できるのですが、実際のエラー画面のキャプチャなど共有いただくことは可能でしょうか？

   

  コメントアクション パーマリンク
• 

  maruhiro

  • 2023年07月28日 00:56
  • 編集済み

  NGとなるときのジョブと保存ボタンを押したときのキャプチャです。

  print(./)とした場合は保存ができ、実行結果も問題ありません。

  kompira_dump.shの出力ファイルを別途メールで送付させていただきました。

  よろしくお願いいたします。

  

  

  0

  コメントアクション パーマリンク
• 

  Permanently deleted user

  • 2023年07月28日 03:00
  • 編集済み

  ログの送付ありがとうございます。

  httpd のアクセスログを確認しましたところ、print(../) が含まれているジョブフローの保存時（POSTリクエスト）の記録が残されておりませんでした。一方で、print(./) のジョブフローの保存時のPOSTリクエストのログは記録されております。

  このことから推測するに、お使いのPCとKompiraサーバの通信の間にWAF（Web Application Firewall）のようなセキュリティ対策の機構が存在していたりしませんでしょうか？だとすると、WAFが print(../) を含むPOSTリクエストを攻撃とみなして、403 エラーを返しているかと思われます。

  以上、ご確認のほどよろしくお願いします。

  0

  コメントアクション パーマリンク
• 

  maruhiro

  • 2023年07月28日 04:06

  ご指摘いただきましたように利用しているWAFのルールの中で通信を許可しない設定を行っているようでした。

  構築担当者と調整して対処いたします。

  ご回答ありがとうございました。

  0

  コメントアクション パーマリンク
• 

  maruhiro

  • 2023年07月31日 02:13

  追記

  当該事象は、AWS-AWSManagedRulesCommonRuleSetのGenericLFI_BODYを無効化することで解決しました。

  0

  コメントアクション パーマリンク

サインインしてコメントを残してください。