8000 Unable to access a user's post PHPBB 3.3.3 · Issue #2150 · coreruleset/coreruleset · GitHub
[go: up one dir, main page]
More Web Proxy on the site http://driver.im/
Skip to content

Unable to access a user's post PHPBB 3.3.3 #2150

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Closed
diegaless opened this issue Jul 6, 2021 · 30 comments · Fixed by #2180
Closed

Unable to access a user's post PHPBB 3.3.3 #2150

diegaless opened this issue Jul 6, 2021 · 30 comments · Fixed by #2180
Assignees
@azurit
Labels
➕ False Positive

Comments

@diegaless
Copy link
diegaless commented Jul 6, 2021
edited
Loading

Description
Unable to access a user's post (Forbidden), however he was able to post it successfully

Audit Logs / Triggered Rule Numbers
GET /viewtopic.php?f=55&t=1104&p=1705

Triggered rules:

  • Rule 7f2c11a26c88 [id "-"][file "/usr/share/modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"][line "92"] - Execution error - PCRE limits exceeded (-8): (null).
  • Rule 7f2c119ddd38 [id "-"][file "/usr/share/modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"][line "345"] - Execution error - PCRE limits exceeded (-8): (null).
  • [file "/usr/share/modsecurity-crs/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"] [line "390"] [id "951240"] [msg "postgres SQL Information Leakage"] [data "Matched Data: PostGreSQL sin ser mencionados siquiera en clase. No digo ya formarnos en profundidad en ellos\xe2\x80\xa6 Mencionarlos
    \x0ao\x09Formaci\xc3\xb3n orientada \xc3\xbanica y exclusivamente a comandos de Cisco en PAR, el 80% del curso fueron comandos de Cisco, incluidos ex\xc3\xa1menes y el resto, gracias a dios subnetting, pero\xe2\x80\xa6 No se vio NADA de IPv6, nada \xc3\xbatil digo. A ver cuantos compa\xc3\xb1eros de curso saben las reglas de abreviaci\xc3\xb3n de ceros de una direcci\xc..."]
  • [file "/usr/share/modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf"] [line "76"] [id "959100"]
  • [file "/usr/share/modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf"] [line "97"] [id "980140"]
  • Action: Intercepted (phase 4)

There were rules that were repeated and eliminated by synthesizing.

Your Environment

  • CRS version: 3.3.0 (REQUEST-903.9007-PHPBB-EXCLUSION-RULES.conf updated to latest version)
  • Paranoia level setting: default (1)
  • ModSecurity version: 2.9.2
  • Web Server and version: Apache 2.4.29 | PHP 7.4.21
  • Operating System and version: VPS Ubuntu 18.04

Confirmation
[x] I have removed any personal data (email addresses, IP addresses,
passwords, domain names) from any logs posted.
@diegaless
Copy link
Author

I mention you directly, because I know you are the right person, when you can take a look, any info ask for it @azurit

@diegaless diegaless changed the title Unable to access a user's post Unable to access a user's post PHPBB 3.3.3 Jul 6, 2021
@airween
Copy link
Contributor
airween commented Jul 6, 2021

Hi @diegaless,

thank your for your detailed report. I'm afraid we need more information to investigate this issue. You wrote the request is GET, but if the rule 200004 triggered, that means you sent a multipart request.

It would be good to see the whole request - can you share with us a curl example?

@diegaless
Copy link
Author

Hi @diegaless,

thank your for your detailed report. I'm afraid we need more information to investigate this issue. You wrote the request is GET, but if the rule 200004 triggered, that means you sent a multipart request.

It would be good to see the whole request - can you share with us a curl example?

sorry, rule 200004 was placed on me, it did not belong to this false positive, I have already edited the original message.

The request is effectively a get, it did not make sense that it was a multipart, otherwise I would have specified it, I hope that I can continue working with this

@azurit
Copy link
Member
azurit commented Jul 6, 2021

@diegaless Hi friend! Can you try this?

SecRule REQUEST_FILENAME "@endsWith /viewtopic.php" \
    "id:9007200,\
    phase:4,\
    pass,\
    t:none,\
    nolog,\
    ver:'OWASP_CRS/3.4.0-dev',\
    ctl:ruleRemoveTargetById=951240;TX:sql_error_match"

@diegaless
Copy link
Author

@diegaless Hi friend! Can you try this?

SecRule REQUEST_FILENAME "@endsWith /viewtopic.php" \
    "id:9007200,\
    phase:4,\
    pass,\
    t:none,\
    nolog,\
    ver:'OWASP_CRS/3.4.0-dev',\
    ctl:ruleRemoveTargetById=951240;TX:sql_error_match"

You are the best @azurit hahaha! It works!

Thanks for everything, awesome work

@dune73
Copy link
Member
dune73 commented Jul 6, 2021

He's a wizard. :)

But the question is whether this is a generic FP we ought to avoid in the future or something that has to be accepted. Looking at the payload containing Postgresql, I'm not surprised this was hit by a rule...

@diegaless
Copy link
Author

He's a wizard. :)

But the question is whether this is a generic FP we ought to avoid in the future or something that has to be accepted. Looking at the payload containing Postgresql, I'm not surprised this was hit by a rule...

For if it helps, this is why I jump to the rule specifically (I specifically think that the beginning of the sentence):

lo que nos deja MySQL/MariaDB, SQL Server y PostGreSQL sin ser mencionados siquiera en clase. No digo ya formarnos en profundidad en ellos… Mencionarlos
o Formación orientada única y exclusivamente a comandos de Cisco en PAR, el 80% del curso fueron comandos de Cisco, incluidos exámenes y el resto, gracias a dios subnetting, pero… No se vio NADA de IPv6, nada útil digo. A ver cuantos compañeros de curso saben las reglas de abreviación de ceros de una dirección IPv6

@azurit
Copy link
Member
azurit commented Jul 6, 2021
edited
Loading

But the question is whether this is a generic FP we ought to avoid in the future or something that has to be accepted. Looking at the payload containing Postgresql, I'm not surprised this was hit by a rule...

I think this can be integrated into exclusion package - it was matched on RESPONSE_BODY on a forum post (which can contain literally anything and it's ok, it is a forum where users can post any content).

Edit: Also, rule 951240 is for PostgreSQL and phpBB is able to run only on MySQL / MariaDB.

@dune73
Copy link
Member
dune73 commented Jul 6, 2021

Good comment on 951240.

Can you limit it to the RE to the very URI where the forum post is concerned? Ideally combined with GET method.

@diegaless
Copy link
Author
diegaless commented Jul 6, 2021
edited
Loading

Pero la pregunta es si se trata de un PF genérico que deberíamos evitar en el futuro o algo que hay que aceptar. Mirando la carga útil que contiene Postgresql, no me sorprende que esto haya sido afectado por una regla ...

Creo que esto se puede integrar en el paquete de exclusión: se emparejó en RESPONSE_BODYuna publicación de foro (que puede contener literalmente cualquier cosa y está bien, es un foro donde los usuarios pueden publicar cualquier contenido).

Editar: Además, la regla 951240 es para PostgreSQL y phpBB solo puede ejecutarse en MySQL / MariaDB.

phpbb supports postgre and more dbs:
MySQL 3.23 or above (MySQLi supported)
MariaDB 5.1 or above
PostgreSQL 8.3+
SQLite 3.6.15+
MS SQL Server 2000 or above (via ODBC or the native adapter)
Oracle

Info:phpbb db info

@azurit
Copy link
Member
azurit commented Jul 6, 2021

Oh, sorry, didn't know that! Anyway, combined with GET method, i think it can be integrated anyway. @dune73 what do you think?

@dune73
Copy link
Member
dune73 commented Jul 6, 2021

Following CVE-2021-35638, I'm very weary of rule exclusions. I think it really depends on the PHPBB URIs.

@azurit
Copy link
Member
azurit commented Jul 6, 2021
edited
Loading

URI is exactly what's in the rule above: /viewtopic.php

@dune73 dune73 mentioned this issue Jul 19, 2021
Closed
@dune73 dune73 mentioned this issue Aug 16, 2021
Closed
@dune73
Copy link
Member
dune73 commented Aug 16, 2021

OK. Agreed. Than I think a PR should be written. (Sorry for not responding earlier)

@azurit azurit self-assigned this Aug 16, 2021
@lifeforms
Copy link
Member

Probably PostgreSQL.*ERROR matched. Maybe there was some "ERROR" string much further in the post. I guess we could make this rule more tight by requiring a maximum number of characters between Postgres and ERROR.

@diegaless
Copy link
Author

Probably PostgreSQL.*ERROR matched. Maybe there was some "ERROR" string much further in the post. I guess we could make this rule more tight by requiring a maximum number of characters between Postgres and ERROR.

I keep the original post, there is no match with 'ERROR' later on, but the word 'errores' is mentioned later, I don't know if that results in a submatch that breaks the rule. If I have understood correctly the 'ER' that you expose. If it is helpful I can provide the text of the original post

@azurit
Copy link
Member
azurit commented Aug 24, 2021

@diegaless Can you, please, provide the text of the post? Thank you.

@azurit azurit mentioned this issue Aug 24, 2021
Merged
@dune73
Copy link
Member
dune73 commented Sep 3, 2021

Any update here @diegaless?

@diegaless
Copy link
Author
diegaless commented Sep 4, 2021
edited
Loading

Sorry for the delay and thank you for your work. Let me know once you have obtained the text of the post to edit and delete those parts of my comment.

Excerpt from the text that I believe was the cause of the rule jump

Fallos continuos en GBD, con clases que se perdían enteras porque el profesor no tenía preparado el entorno del SGBD con antelación, tampoco tenia las sentencias SQL preparadas, de manera que le daban errores continuos.
 No se podía sugerir probar las cosas en otro gestor, ya que UNICAMENTE lo hacen en Oracle, lo que nos deja MySQL/MariaDB, SQL Server y PostGreSQL sin ser mencionados siquiera en clase. No digo ya formarnos en profundidad en ellos

Full Post:

1- ¿Por qué escogí FOC? ¿Era lo que te esperabas? ¿Nivel de exigencia / dificultad?
Era el centro que mejores opiniones tenia por internet
No
Muy bajo el nivel de dificultad y exigencia

2- Turnos y horarios, Campus e instalaciones, ambiente
Online 24/7

3- Consejos de Veteran@
No te apuntes y si lo haces, intenta tener un grupo de Telegram con el resto de compañeros lo antes posible

4- Asistencia ir o no ir
Online

5- ¿Expectativas al acabar CFGS?
Para personas sin titulo pero con experiencia, ya que lo poco que aprendas te dejará muy por detrás de compañeros / competidores salidos de escuela presencial.

Bueno,

Voy a contar mi experiencia con FOC. No tenía intención de escribir esto, pero las ultimas gestiones con ellos, de FCT y titulo, me han forzado a informar a la gente de a que se enfrenta con este centro de formación.
Voy a expresar mi punto de vista como me permite el articulo 20.1.A de la Constitución, articulo que mencionaré más adelante… Que cada lector lo entienda como quiera.
Comencé y me apunte con ilusión al primer primer año, teniendo claro que una formación online, no es en absoluto igual de efectiva que presencial y de que me tendría que buscar la vida por internet, pero me era necesario dado que trabajaba, además de a turnos, con guardias.

Estuve buscando opiniones y FOC era de las que mejor tenía. Asiqué me apunté a primero. Esto es lo que me encontré:
- Formación CARA, el titulo completo se va a más de 2000 euros
- Formación MUY pobre:
o Fallos continuos en GBD, con clases que se perdían enteras porque el profesor no tenía preparado el entorno del SGBD con antelación, tampoco tenia las sentencias SQL preparadas, de manera que le daban errores continuos.
 No se podía sugerir probar las cosas en otro gestor, ya que UNICAMENTE lo hacen en Oracle, lo que nos deja MySQL/MariaDB, SQL Server y PostGreSQL sin ser mencionados siquiera en clase. No digo ya formarnos en profundidad en ellos… Mencionarlos
o Formación orientada única y exclusivamente a comandos de Cisco en PAR, el 80% del curso fueron comandos de Cisco, incluidos exámenes y el resto, gracias a dios subnetting, pero… No se vio NADA de IPv6, nada útil digo. A ver cuantos compañeros de curso saben las reglas de abreviación de ceros de una dirección IPv6
 Curso CCNA obligatorio, además de los exámenes del curso CCNA para poder aprobar la asignatura.
 Tenias que estar persiguiendo al tutor de Netacad para que abriese todos los exámenes porque los tenían cerrados, a pesar de ser obligatorio hacerlos
o Formación OBSOLETA en cuanto a tecnologías. Estamos hablando de ver Ubuntu 16 teniendo 18 y 20 LTS
o Formación OBSOLETA en cuanto a materiales. Videos grabados hace fácilmente 6 o 7 años.
o Formación con muchísimos defectos, errores múltiples en los PDFs que proporcionaban, que hacían muchas veces difícil o imposible seguir el temario y practicas con ellos, teniendo que recurrir a ServerFault o StackOverflow
o Exámenes de una dificultad vergonzosa, por debajo de primero de grado medio, el primer examen y el de recuperación, eran IDENTICOS, en PAR te daban chuleta de los comandos de Cisco que se supone llevas meses aprendiendo. Sacar menos de un 8 en los exámenes es casi imposible solo con asistir a clase y hacer las practicas.
o Practicas de cada tema con dificultades muy dispares, desde como instalar un Windows (Y ya), a hacer un ping entre dos máquinas (Y ya) o instalar el SGDB de Oracle a ciegas ya que las dos clases fueron clases perdidas porque no se pudo ver en clase.
o Exámenes “prácticos” en papel para FH.

Con estas cosas, llego el fin de curso y aprobé todas con más de un 8.
Y este fue el año bueno.

Ahora vamos a segundo, que aquí es donde la matan.
El segundo año fue muchísimo peor en cuanto a formación. Pero la gestión debería ser constitutiva de delito.

Bueno, formalizo matricula, sabiendo ya a lo que iba, empieza el curso y las clases.
Se van desarrollando los días y los temas y…
- 3 temas de 7, dedicado SOLO a la instalación y modificación de Joomla
- 1 tema de 7 dedicado a aplicaciones de ofimática web (Crear un Word con Google Workspace y sucedáneos)
- Y solo 2 temas de 7 de PHP, sin que siquiera se mostrara por encima ningún otro lenguaje de servidor o la existencia de frameworks, pero ni mencionarlos…

Las tareas tardaban semanas en corregirlas una vez pasada la fecha de entrega, con decir que cumplía el plazo de entrega de la tarea 7 y la 5 seguía sin corregir.

Bueno, dejemos IAW, sigamos con SRI, SRI es impartido por Juanmi, que si bien es cierto que es un buen profesor (De esto hablare mas adelante) el temario que imparte en esta asignatura va de mas a menos, empezando con DNS y DHCP para acabar viendo videos y escuchando al profesor cantar en clase para rellenar tiempo en las sesiones de implantación de servidores multimedia.

Dejando fuera servicios muchísimo más importantes como por ejemplo SNMP, RPC (Aunque sea a nivel teórico), vicisitudes de HTTP como las cabeceras, las respuestas, o la existencia de servicios en la nube, ya sean IaaS, PaaS o SaaS.

En ASO, también impartida por Juanmi, pasa algo parecido, el temario pasa por encima, casi ignorando la virtualización, no digo ya ESXi que si se menciona, sino los diferentes hipervisores, la virtualización ligera (Docker, Proxmox) siendo algo que no es fácil iniciarse sin unas nociones que deberían impartirse en este ciclo, recordemos que la libertad de catedra está reconocida como derecho en el artículo 20.1.C de nuestra constitución, siendo este un derecho fundamental. Lo que echa en parte la culpa al temario y en parte al profesor, por omitir estos temas.
Se vio muuuuuuuy de pasada scripting, algo que creo que es también bastante importante, se hizo mas incidencia en scripting de Linux que en PowerShell, que se mencionó y se vio muy por encima, no me acuerdo bien, pero creo que fue 3 clases vs ¼ de clase o algo así.

Seguimos con SAD y sus HLC (Horas de libre configuración), SAD me dejo bastante “sad” porque era una asignatura que en el grado medio me encantó, en este centro, las practicas fueron bastante mas sosas, siendo una de ellas utilizar SCP para copiar un txt entre dos máquinas Linux, sin usar claves ni nada, usuario y clave que si se mencionaron en la teoría. Pero mi queja no viene en realidad por aquí, sino porque toco volver a Netacad a seguir un curso que no enseña nada nuevo y puede ser fácilmente respondido y aprobado usando internet (Saludos a ITExamAnswers) siendo obligatorio para poder aprobar la asignatura.

Y vamos al premio gordo de esta parte de la experiencia, el proyecto, el proyecto es el TOP 3 de desastres de este centro:
El proyecto consiste en 4 fases, como podréis ver, los plazos no tienen ningún sentido en las tres primeras:
- Propuesta
o 22 días
- Identificación de necesidades (Escribir un Word de unas 10/20 hojas)
o 21 días
- Ejecución, seguimiento y pruebas del proyecto (Implantación y documentación completa) – La fase con mayor carga de trabajo
o 15 días
- Presentación del video (Una charla distendida con el profesor, mero trámite)
Como veis, es surrealista que para la propuesta e identificación de necesidades se den 43 días y para la ejecución, pruebas y documentación del proyecto del un tercio de ese tiempo.
Pero sigamos, esta es mi experiencia con la formación.

- Gestión
La gestión tiene dos caras, antes y después de pagar.
Antes de pagar todo es bonito, con unicornios y florecillas, te atienden al teléfono y al correo al momento, todas las dudas que planteas te las resuelven al momento. Y entonces es cuando te matriculas, pagas y todo cambia.
Después de pagar, los correos tardan días en ser respondidos y eso cuando tienes suerte y los responden. El teléfono, siguen ateniéndolo, pero ya resulta que le tienen que pasar el mensaje al profesor/tutor, y quizá, si se alinean los astros, este te responde. Jefatura, le voy a dar un punto de confianza con el teléfono, pero con los correos, rara vez responden en el día, cuando lo hacen aprovecha, quizá sea la última vez en meses.
Dentro hay una herramienta de tickets, que va por tema, y tipo de consulta. Hay profesores que tardan poco, incluso a veces te responden en fin de semana, es bastante de agradecer, pero hay otros que pueden tardar una semana entera en contestarte.

Una cosa que es discutible según con quien hables (A mí me parece correcto como lo hacen) es que no te dan la solución directa a lo que preguntas, sino que intentan encaminarte a que descubras tu mismo la solución.

Pero hay veces que el propio profesor no tiene ni puta idea de que problema tienes. Y te lo dicen tal cual, asique te tienes que apañar, si tu propio código a ti no te funciona y al profesor si, pues te jodes porque no puedes plasmarlo en la tarea ¿Y qué haces? Falsificas las capturas (Esto ocurrirá en LM, GBD y ASGBD ya os lo adelanto)

La peor parte de la gestión viene a final del último año: emisión de título, FCT y Proyecto (del que ya he hablado)

La gestión de las FCT tanto si las tienes que realizar, como si pides excepción, vas a tener problemas, la única diferencia es cuánto se van a dilatar estos.
En caso de hacer las FCTs, no mi caso, pero si el de muchos compañeros a los que conocí gracias a WhatsApp y Telegram (AH AH casi se me olvida, te recomiendan no tener grupos de WhatsApp entre compañeros alegando motivos académicos… Y UNA P…, los motivos son no poder hacer presión de grupo al centro y estar a su merced en cuanto a información de gestiones, asique los que aun a pesar de este post entréis, en el primer examen haced colegas y haced grupo de Telegram, os ayudará muchísimo)

Bueno a lo que iba que me distraigo, viviendo en la era del teletrabajo y la telepresencia, te obligan a mandar la documentación en papel firmada de puño y letra de la persona correspondiente del centro, tanto para las fichas semanales de las FCT como para las exenciones de dicho modulo, queda en vuestra mano romperos la cabeza como mucho
8000
s estos dos años, o falsificar las firmas como han hecho otros. Pero no olvidéis: Aunque lo mandes firmado con certificado FNMT te lo van a exigir firmado a mano.

Por último, parece que cual mafia, tengan un acuerdo con el centro público al que están adscritos (IES Iliberis) ya que los primeros (FOC) cobran 50 euros por la gestión de la tramitación del título (APARTE DE LOS 54 EUROS DE TASAS QUE SIEMPRE TENDRAS QUE PAGAR), de la cual puedes librarte de pagar, siempre que quieras romperte la cabeza con el centro público, los cuales por teléfono, te pondrán pegas para cumplir la solicitud, como por ejemplo, pedir que lo envíen a tu delegación de gobierno mas cercana, cosa a la que están obligados siempre que tú lo solicites. Esta gestión viene especificada en el contrato, pero no pueden obligarte, al menos de forma directa, te obligan dificultando el proceso lo máximo posible.

Hagamos cálculos, en torno a 60 alumnos en clase, por 3 CFGS son 180 alumnos, por 50 euros por cada uno, son 9000 euros por apenas una jornada de trabajo, una semana a lo máximo de sueldo de una persona para tramitar la visita al centro y el envío por correo del título. Después de que esos alumnos suelten mas de 1000 euros cada uno, cada año.

En resumen:
FOC son unos peseteros, que proporcionan una formación pobre y obsoleta, donde los profesores se esfuerzan bastante poco y no trabajan en mejorar y actualizar los temarios.
La gestión es aun peor que la formación, donde solo prima el coger la pasta y luego olvidarse de ti, poniéndose las gafas y las orejas de madera.

@azurit
Copy link
Member
azurit commented Sep 6, 2021

Here is the exact match against pattern PostgreSQL.*ERROR:
PostGreSQL sin ser mencionados siquiera en clase. No digo ya formarnos en profundidad en ellos… Mencionarlos o Formaci�³n orientada �ºnica y exclusivamente a comandos de Cisco en PAR, el 80% del curso fueron comandos de Cisco, incluidos ex�¡menes y el resto, gracias a dios subnetting, pero… No se vio NADA de IPv6, nada �ºtil digo. A ver cuantos compa�±eros de curso saben las reglas de abreviaci�³n de ceros de una direcci�³n IPv6 Curso CCNA obligatorio, adem�¡s de los ex�¡menes del curso CCNA para poder aprobar la asignatura. Tenias que estar persiguiendo al tutor de Netacad para que abriese todos los ex�¡menes porque los ten�­an cerrados, a pesar de ser obligatorio hacerlos o Formaci�³n OBSOLETA en cuanto a tecnolog�­as. Estamos hablando de ver Ubuntu 16 teniendo 18 y 20 LTS o Formaci�³n OBSOLETA en cuanto a materiales. Videos grabados hace f�¡cilmente 6 o 7 a�±os. o Formaci�³n con much�­simos defectos, errores

Do we have any examples of PostgreSQL error messages matching pattern PostgreSQL.*ERROR?

@lifeforms
Copy link
Member

This is a great example input.

I have no experience with PostgreSQL, I briefly installed PostgreSQL and tried the basic example. Some errors that I got out of it are:

PHP Warning:  pg_query(): Query failed: ERROR:  relation "authors" does not exist
LINE 1: SELECT * FROM authors
                      ^ in /Users/walter/Desktop/pg.php on line 8

SQLSTATE[08006] [7] FATAL:  database "template123" is not currently accepting connections

So it seems ERROR or PostgreSQL are not always there. I'm wondering therefore if this pattern is still really effective.

Maybe we should search for (?:pg_query|PostgreSQL).{1-20}ERROR.

And maybe we should also have a separate rule that blocks anything with SQLSTATE[xxxxx]. That phrase is common for PHP PDO in other database backends also. (I see we hardcoded a few SQLSTATEs).

@lifeforms lifeforms reopened this Sep 6, 2021
@dune73 dune73 mentioned this issue Sep 19, 2021
Closed
@dune73
Copy link
Member
dune73 commented Sep 19, 2021

@azurit: this issue is assigned to you. Are you still interested to provide a fix? I was a bit weary first, but I think all we need is now on the table. What do you think?

@azurit
Copy link
Member
azurit commented Sep 19, 2021
edited
Loading

Are you still interested to provide a fix?

@dune73: Yes, i am.

@dune73
Copy link
Member
dune73 commented Sep 19, 2021

Cool. Is there anything you need, or are you good to go?

@azurit
Copy link
Member
azurit commented Sep 19, 2021

I think there's everything.

@dune73
Copy link
Member
dune73 commented Sep 19, 2021

Cool. Thank you for the confirmation.

@azurit
Copy link
Member
azurit commented Sep 20, 2021

@lifeforms I'm thinking about how to integrate check for SQLSTATE - should it be rule similar to 951100? i.e. it will activate tx.sql_error_match. Or maybe just adding SQLSTATE[ into sql-errors.data? Would be easy-go but what about FPs, as @pm is case-insensitive?

@azurit
Copy link
Member
azurit commented Oct 4, 2021

@lifeforms ping :)

@dune73 dune73 mentioned this issue Nov 15, 2021
Closed
@lifeforms
Copy link
Member

I think SQLSTATE is so rare that my feeling is we won't get many false positives.

@azurit azurit mentioned this issue Nov 16, 2021
Merged
@fzipi fzipi mentioned this issue Dec 5, 2021
Closed
@dune73
Copy link
Member
dune73 commented Dec 20, 2021

This is solved via #2313

@dune73 dune73 closed this as completed Dec 20, 2021
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@azurit azurit

Labels
➕ False Positive
Projects
None yet
Milestone
No milestone
Development

Successfully merging a pull request may close this issue.

Fix for phpBB FP
5 participants
@airween @dune73 @azurit @lifeforms @diegaless
0