Page de blocage antivirus présente un comportement incohérent

Page de blocage antivirus présente un comportement incohérent

43037
Created On 09/27/18 06:29 AM - Last Modified 06/01/23 07:58 AM


Symptom


Tester un téléchargement de virus à partir de différents sites en utilisant le décryptage SSL donne des résultats différents.

Parfois, vous recevez une page de réponse indiquant le bloc de téléchargement de virus/spyware, et sur d'autres sites vous ne voyez pas une page de réponse. Dans le premier cas, vous pouvez également voir que chaque fois que la page de réponse est déclenchée, une réinitialisation est uniquement envoyée au serveur. La raison en est qu'au lieu de Reset-les deux, le pare-feu présente une page de réponse au client et une remise à zéro sur le serveur.

 

L'action configurée pour le profil antivirus est réinitialisée-les deux.

Image ajoutés par l’utilisateur

 

Nous sommes présentés avec deux échantillons du fichier EICAR, hébergés dans différents sites:

 

Premier site Web

https://Secure.EICAR.org/eicarcom2.zip

Au moment du test, Secure.EICAR.org se résout à l'adresse IP 213.211.198.58

L'entrée de journal des menaces qui en résulte montre une réinitialisation-les deux actions:

 

Image ajoutés par l’utilisateur

Le navigateur Web ne présente pas de page de réponse:

Image ajoutés par l’utilisateur

 

Deuxième site Web

https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip

Au moment du test, www.ikarussecurity.com se résout à l'adresse IP 91.212.136.200

 

Image ajoutés par l’utilisateur 

Le navigateur Web présente une page de réponse:

Image ajoutés par l’utilisateur

 

 

Resolution


Le comportement est «tel que conçu».

 

La raison du comportement présenté avec le premier site Web, https://Secure.EICAR.org/eicarcom2.zip, est, nous ne détectons pas la menace dans le premier paquet de la réponse. Dans ce cas, les en-têtes http ont déjà été transmis au client. Dans cette situation, nous ne pouvons pas envoyer la page de réponse, et donc la seule action prise est d'envoyer une réinitialisation à la fois le client et le serveur comme configuré dans le profil.

Dans le cas du deuxième site Web, https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2.zip, nous détectons la menace au début, dans le premier paquet de la réponse, donc nous sommes en mesure d'envoyer une page de réponse au client.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6lCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language