일부 사용자들이 User-Agent 문제로 접속이 안됩니다.

Date: 2008-06-16 ; Time: 17:17:59 ; Site Instance: W3SVC4 ; Event: OnPreprocHeaders 
Client IP: xxx.xxx.xx.175 ; Username: ;

Additional info about request (event specific): GET / 
OVRAW=%EC%96%BC%EB%A7%88%EC%97%90%EC%9A%94&OVKEY=%EC%96%BC%EB%A7%88%20%EC%97%90%EC%9A%94&OVMTC=standard&OVADID=5747216042&OVKWID=75668591542 
HTTP/1.1 
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;http://bsalsa.com) 
.NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) 
BLOCKED: 'user-agent: mozilla' not allowed in User Agent

 

위 로그에서 정상 사용자들이 차단된 원인은 Header의 User-Agent 값에 ‘user-agent: mozilla'라는 값이 필터링 룰에 매칭되어 차단된 것입니다. 
AQTRONIX는 Robots.xml 파일을 통해 User-Agent의 Database를 만들어 지속적으로 업데이트 하고 있습니다. 다음의 URL에서 해당 차단된 User-Agent를 검색해 보면 User-Agent를 속이는 Agent로 ‘Other Bad' 섹션에 분류되어 있습니다.

 

http://www.aqtronix.com > User-Agent 메뉴 > Lookup 에서 Agent 검색

 

Robots.xml 을 열어 Other Bad로 이동해 보면 User-Agent Other Bad와 User-Agent Other Bad Sequence 두개 항목이 있는데 이 두곳에서 해당 Agent 정보를 찾아 삭제하시면 됩니다.

 

※ 각 항목명과 각 항목명 Sequence의 차이

User-Agent Other Bad : Other Bad 섹션의 차단하고자 하는 Full User-Agent값

-> 차단메시지: "BLOCKED: User Agent not allowed"

User-Agent Other Bad Sequence : Other Bad 섹션의 차단하고자 하는 각 키워드

-> 차단메시지: "BLOCKED: '매칭된 키워드' not allowed in User Agent"

 

중요한 것은 차단된 사용자의 PC에 이런 Agent값을 갖는 악성 프로그램이나 스파이웨어가 설치된 것은 아닌지 먼저 점검 해봐야 합니다.

 

 

 

 

[출처] 웹보안툴박스 | WAFsupport 

(http://toolbox.krcert.or.kr/MMBF/MMBFBBS_V.aspx?MENU_CODE=42&BOARD_ID=12&BOARD_NUMBER=6&SEARCH_TYPE=&SEARCH_WORD=&PAGE_INDEX=0&UPPER_BOARD_NUMBER=)