[mod-security-users] Stage -E- in UTF-8 or HEX?

[Cristiano G. <cri...@ga...>]

Hi!

I have a 3.0 modsecurity in NGINX with the SecAuditLogType set to Concurrent and SecAuditLogParts set to ABIJDEFGHZ.

The events are being recorded like this:

> ---l4LQjRLv---A--
> [09/Mar/2018:18:00:01 +0000] 15206184011.536311 189.x.x.x 59421 189.x.x.x 8080
> ---l4LQjRLv---B--
> GET /?id=1%27%20or%20%271=1 HTTP/1.1
> Host: my_host.compute.amazonaws.com
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:58.0) Gecko/20100101 Firefox/58.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: pt-BR,pt;q=0.8,en-US;q=0.5,en;q=0.3
> Accept-Encoding: gzip, deflate
> Connection: keep-alive
> Upgrade-Insecure-Requests: 1
>
> ---l4LQjRLv---D--
>
> ---l4LQjRLv---E--
> \xb3Qt\xf1w\x0e\x89\x0cpU\xc8(\xc9\xcd\xb1\xe3\xb2\x01Q\x0a9\x89y\xe9\xb6J\xa9yJ \x81\xd4\xc4\x14 \x95\x9bZ\x92\xa8\x90\x9c\x91XT\x9cZb\xabTZ\x92\xa6k\x01\x92-\xc9,\xc9I\xb5s-*\xca/\xb2\xd1\x87p\xb8l\xf4\xa1z\x92\xf2S*\x81TAQ\xaa\x9dsb^^~\x89\x82\xbbk\x88\x82\xbe\x8d>H\x04\xa8\x0c*\xaf\x0f\xb1\x1a\x00\xe6O#T\x8b\x00\x00\x00\x00\x00PX9\x02\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00@Q9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:msg\xb0\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00pX9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00hQ9\x02\x00\x00\x00\x008Q9\x02\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\x81\x00\x00\x00\x00\x00\x00\x00\xb0K9\x02\x00\x00\x00\x00`S9\x02\x00\x00\x00\x00PM9\x02\x00\x00\x00\x00G\x01\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xf0S9\x02\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x002\x00verity\
x00ata: \x00\x00!\x00\x00\x00\x00\x00\x00\x00\x10\xed7\x02\x00\x00\x00\x000Y9\x02\x00\x00\x00\x00@\x06\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\xc0R9\x02\x00\x00\x00\x00(S9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\xb8R9\x02\x00\x00\x00\x00\xa0R9\x02\x00\x00\x00\x00pS9\x02\x00\x00\x00\x00pS9\x02\x00\x00\x00\x00\x91\x00\x00\x00\x00\x00\x00\x00P\x1e3\x02\x00\x00\x00\x00\x90Y9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00logdata\x00 E9\x02\x00\x00\x00\x001\x00\x00\x00\x00\x00\x00\x00`J9\x02\x00\x00\x00\x00\xb8\x17\x82\xb0\xf1\x7f\x00\x00\x00R9\x02\x00\x00\x00\x00\xdc\x02\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xf0Y9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8R9\x02\x00\x00\x00\x00\xe8R9\x02\x00\x00\x00\x00\x10\x07\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00PY9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:logdata\x00 accept\x00\x00\x00\x00\x00d\x00\x00\x00\x00\x00\
x00`\x00\x00\x00\x00\x00\x00\x00`Z9\x02\x00\x00\x00\x008\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00Matched Data: accept found within : \x00\x00\x00\x00PT9\x02\x00\x00\x00\x001\x01\x00\x00\x00\x00\x00\x00`X9\x02\x00\x00\x00\x00\x01\x07\x00\x00\x00\x00\x00\x00 \xb07\x02\x00\x00\x00\x00\xd0a9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd0S9\x02\x00\x00\x00\x000[9\x02\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\x00\9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00severity\x00T9\x02\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00\x80>2\x02\x00\x00\x00\x000[9\x02\x00\x00\x00\x00\x90\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\x00Y9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18T9\x02\x00\x00\x00\x00HT9\x02\x00\x00\x00\x00\xc0\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\xc0[9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xff\xf
f\xff\x00\x00\x00\x00RULE:severity\x00\x00\x00HS9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x91\x00\x00\x00\x00\x00\x00\x00\xb0K9\x02\x00\x00\x00\x00\xb8\x17\x82\xb0\xf1\x7f\x00\x008.c\xaf\xf1\x7f\x00\x00\x18T9\x02\x00\x00\x00\x00\x00T9\x02\x00\x00\x00\x00\xe0S9\x02\x00\x00\x00\x00\xe0S9\x02\x00\x00\x00\x00Q\x00\x00\x00\x00\x00\x00\x00\x10\xb97\x02\x00\x00\x00\x00\x00\9\x02\x00\x00\x00\x00pT9\x02\x00\x00\x00\x00{\x03\x00\x00\x00\x00\x00\x00\xd0>2\x02\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00pV9\x02\x00\x00\x00\x00\xe0_9\x02\x00\x00\x00\x00\x90\x01\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\xa0U9\x02\x00\x00\x00\x00\xc8U9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\xc8X9\x02\x00\x00\x00\x00\xb0X9\x02\x00\x00\x00\x00`X9\x02\x00\x00\x00\x00`X9\x02\x00\x00\x00\x001\x00\x00\x00\x00\x00\x00\x00`F9\x02\x00\x00\x00\x00 u9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00id\x00260\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x10\x0e8\x02\x00\x00
\x00\x00\xf8\x87\x11\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\xe8W9\x02\x00\x00\x00\x00\xd0W9\x02\x00\x00\x00\x00\xc0V9\x02\x00\x00\x00\x00\xc0V9\x02\x00\x00\x00\x00\xb1\x03\x00\x00\x00\x00\x00\x00 \xfc7\x02\x00\x00\x00\x00\xc0Z9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00Sybase SQL Information Leakage\x00\x00q\x03\x00\x00\x00\x00\x00\x00\x00\xef8\x02\x00\x00\x00\x00@]9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00(W9\x02\x00\x00\x00\x00\x10W9\x02\x00\x00\x00\x00\x80V9\x02\x00\x00\x00\x00\x80V9\x02\x00\x00\x00\x001\x03\x00\x00\x00\x00\x00\x00\xe019\x02\x00\x00\x00\x00 h9\x02\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00`^9\x02\x00\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00951014\x00951014\x00\x00\x00!\x01\x00\x00\x00\x00\x00\x00pN9\x02\x00\x00\x00\x00\xd0]9\x02\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00`_9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00 
\x00\x00\x00\x00\x00\x00\x00\xd0T9\x02\x00\x00\x00\x00\x98U9\x02\x00\x00\x00\x00`\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\x90N9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:id\x00\x90\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x000^9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00(W9\x02\x00\x00\x00\x00\xf8V9\x02\x00\x00\x00\x00ainst TXa\x00\x00\x00\x00\x00\x00\x00\xf0W9\x02\x00\x00\x00\x00\xe0d9\x02\x00\x00\x00\x00\xf0U9\x02\x00\x00\x00\x00\xcd\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xe0d9\x02\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00rev\x00\x00\x00\x00\x00p\x01\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xc0W9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:rev\xa0\x01\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00`d9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8
W9\x02\x00\x00\x00\x00\xb8W9\x02\x00\x00\x00\x00rmation a\x01\x00\x00\x00\x00\x00\x00\xf0\x0a8\x02\x00\x00\x00\x00\xe0d9\x02\x00\x00\x00\x00pU9\x02\x00\x00\x00\x00M\x01\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00Q\x00\x00\x00\x00\x00\x00\x00\xd0X9\x02\x00\x00\x00\x00\xa0e9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00msg\x00\x00\x00\x00\x00DATA-LEA!\x00\x00\x00\x00\x00\x00\x00\xe0\xb77\x02\x00\x00\x00\x00`_9\x02\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xa0X9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:msg\xb0\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00@e9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8X9\x02\x00\x00\x00\x00\x98X9\x02\x00\x00\x00\x00\x10W9\x02\x00\x00\x00\x00\x81\x00\x00\x00\x00\x00\x00\x00`S9\x02\x00\x00\x00\x00\xc0Z9\x02\x00\x00\x00\x00\x00U9\x02\x00\x00\x00\x00G\x01\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00P[
9\x02\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x002\x00verity\x00ata: \x00\x00!\x00\x00\x00\x00\x00\x00\x00\x10\xed7\x02\x00\x00\x00\x00\x90d9\x02\x00\x00\x00\x00\xf0\x05\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00 Z9\x02\x00\x00\x00\x00\x88Z9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\x18Z9\x02\x00\x00\x00\x00\x00Z9\x02\x00\x00\x00\x00\xd0Z9\x02\x00\x00\x00\x00\xd0Z9\x02\x00\x00\x00\x00\x91\x00\x00\x00\x00\x00\x00\x00P\x1e3\x02\x00\x00\x00\x000l9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00logdata\x00\xff\xff\xff\xff\x00\x00\x00\x001\x00\x00\x00\x00\x00\x00\x000R9\x02\x00\x00\x00\x00\xb8\x17\x82\xb0\xf1\x7f\x00\x00`Y9\x02\x00\x00\x00\x00\xdc\x02\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00`f9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18Z9\x02\x00\x00\x00\x00HZ9\x02\x00\x00\x00\x00\xc0\x06\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00pb9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x0
0\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:logdata\x00 accept\x00\x00\x00\x00`k\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x00\x00\x00\x00pc9\x02\x00\x00\x00\x008\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00Matched Data: accept found within : \x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00logdata\x00\xff\xff\xff\xff\x00\x00\x00\x00\xb1\x06\x00\x00\x00\x00\x00\x00\xd0a9\x02\x00\x00\x00\x00@t9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000[9\x02\x00\x00\x00\x00\xc0f9\x02\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00Pg9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00severity\x00O9\x02\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00\x80>2\x02\x00\x00\x00\x00\xc0f9\x02\x00\x00\x00\x00\x90\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xd0e9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x[9\x02\x00\x00\x00\x00\xa8[9\x02\x00\x00\x00\x00\xc0\x00\x00\x00\x00\x00\x00\x
00@\x00\x00\x00\x00\x00\x00\x00\x10g9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:severity\x00\x00\x00\x88Z9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\x91\x00\x00\x00\x00\x00\x00\x00`S9\x02\x00\x00\x00\x00\xb8\x17\x82\xb0\xf1\x7f\x00\x008.c\xaf\xf1\x7f\x00\x00x[9\x02\x00\x00\x00\x00`[9\x02\x00\x00\x00\x00@[9\x02\x00\x00\x00\x00@[9\x02\x00\x00\x00\x00Q\x00\x00\x00\x00\x00\x00\x00\x10\xb97\x02\x00\x00\x00\x00\x10\xbd:\x02\x00\x00\x00\x00\xd0[9\x02\x00\x00\x00\x00{\x03\x00\x00\x00\x00\x00\x00P\x00\x00\x00\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00\x90d9\x02\x00\x00\x00\x00\x00m9\x02\x00\x00\x00\x00\x90\x01\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00n9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:severity\x00leaned.\x00\x00\x00\x88\9\x02\x00\x00\x00\x001\x00\x00\x00\x00\x00\x00\x000U9\x02\x00\x00\x00\x00 u9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00id\x00014\x00\x00\x00\x02\x00
\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x000k9\x02\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00Java Source Code Leakage\x00\9\x02\x00\x00\x00\x00\xa1\x02\x00\x00\x00\x00\x00\x00\xa0U9\x02\x00\x00\x00\x00\xb8\x17\x82\xb0\xf1\x7f\x00\x008.c\xaf\xf1\x7f\x00\x00\x98e9\x02\x00\x00\x00\x00\x80e9\x02\x00\x00\x00\x00p_9\x02\x00\x00\x00\x00p_9\x02\x00\x00\x00\x00a\x02\x00\x00\x00\x00\x00\x00\x00\xef8\x02\x00\x00\x00\x00\xb0b9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\x88^9\x02\x00\x00\x00\x00p^9\x02\x00\x00\x00\x00\xe0]9\x02\x00\x00\x00\x00\xe0]9\x02\x00\x00\x00\x00q\x01\x00\x00\x00\x00\x00\x00\x80\xee7\x02\x00\x00\x00\x00\xd0a9\x02\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xd0c9\x02\x00\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00952012\x00952012\x00_s!\x01\x00\x00\x00\x00\x00\x00 V9\x02\x00\x00\x00\x00\x00\xf77\x02\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00
\x10^9\x02\x00\x00\x00\x00(_9\x02\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00 b9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00@V9\x02\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00RULE:id\x00\x90\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\x00\xf77\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x88^9\x02\x00\x00\x00\x00X^9\x02\x00\x00\x00\x00ainst TXa\x00\x00\x00\x00\x00\x00\x00\x00d9\x02\x00\x00\x00\x00\xd0a9\x02\x00\x00\x00\x00P]9\x02\x00\x00\x00\x00\xcd\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x00\x00\xd0a9\x02\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00id\x00012\x000\xb0\x01\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\xe0b9\x02\x00\x00\x00\x00\xc8]9\x02\x00\x00\x00\x008.c\xaf\xf1\x7f\x00\x00\xf8c9\x02\x00\x00\x00\x00\xe0c9\x02\x00\x00\x00\x00\x00^9\x02\x00\
x00\x00\x00\x00^9\x02\x00\x00\x00\x00q\x00\x00\x00\x00\x00\x00\x00\xc0-7\x02\x00\x00\x00\x00`q9\x02\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00rev\x00\x00\x00\x00\x00ch\x00\x00\x00\x00\x00\x00A\x00\x00\x00\x00\x00\x00\x00\xe0\xb77\x02\x00\x00\x00\x00\xb0q9\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00!\x00\x00\x00\x00\x00\x00\x00 b9\x02\x00\x00\x00\x00\xb0h9\x02\x00\x00\x00\x00\xe0\x04\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\xf0k9\x02\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\xf1\x7f\x00\x00RULE:logdata\x00 accept\x00\x00\x00\x00`a9\x02\x00\x00\x00\x00\x91\x01\x00\x00\x00\x00\x00\x00\x10\xa92\x02\x00\x00\x00\x00`\xbb5\x02\x00\x00\x00\x00\xff\xff\xff\xff\xf1\x7f\x00\x00/var/log/mlog2waffle/data/20180309/20180309-1417/20180309-141734-152060505454.421689\x00INBOUND_ANOMALY_SCORE' (Value: `8' )\x00asscan)\x00\x82\xb0\xf1\x7f\x00\x00
>
> ---l4LQjRLv---F--
> HTTP/1.1 404
> Server: nginx/1.12.1
> Date: Fri, 09 Mar 2018 18:00:01 GMT
> Content-Type: text/html; charset=utf-8
> X-Content-Type-Options: nosniff
> Connection: keep-alive
> Content-Security-Policy: default-src 'self'
> Content-Encoding: gzip
>
> ---l4LQjRLv---G--
>
> ---l4LQjRLv---H--
> ModSecurity: Warning. detected SQLi using libinjection. [file "/opt/crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "17"] [id "942100"] [rev "1"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: upgrade-insecure-requests found within ARGS:id: 1' or '1=1"] [severity "2"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "8"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"] [hostname "189.59.73.186"] [uri "/"] [unique_id "15206184011.536311"] [ref "v9,10t:utf8toUnicode,t:urlDecodeUni,t:removeNulls,t:removeComments"]
> ModSecurity: Warning. Matched "Operator `Ge' with parameter `5' against variable `TX:ANOMALY_SCORE' (Value: `5' ) [file "/opt/crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf"] [line "36"] [id "949110"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Score: 5)"] [data ""] [severity "2"] [ver ""] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-generic"] [hostname "189.59.73.186"] [uri "/"] [unique_id "15206184011.536311"] [ref ""]
> ModSecurity: Warning. Matched "Operator `Ge' with parameter `5' against variable `TX:INBOUND_ANOMALY_SCORE' (Value: `5' ) [file "/opt/crs/rules/RESPONSE-980-CORRELATION.conf"] [line "61"] [id "980130"] [rev ""] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack Detected via libinjection'"] [data ""] [severity "0"] [ver ""] [maturity "0"] [accuracy "0"] [tag "event-correlation"] [hostname "189.59.73.186"] [uri "/"] [unique_id "15206184011.536311"] [ref ""]
>
> ---l4LQjRLv---I--
>
> ---l4LQjRLv---J--
>
> ---l4LQjRLv---Z--

Why is my stage E broken?


Cristiano Galdino
(61) 9860 1 9860
cri...@ga...