WAF 似乎为每个请求添加了一个 http 标头,其值如下:
server:Microsoft-IIS/10.0
这对我们来说是一个大问题,因为它导致我们无法通过希望使用我们服务的第三方执行的渗透测试。以前我们使用 url 重写模块来删除服务器标头,但是通过使用 WAF 已将其重新添加。
如果不讨论这是否是一个安全漏洞(我认为不是),如果我们无法控制对客户端的响应,我们就无法通过这个渗透测试。有什么选择还是我们必须放弃 Azure WAF?
WAF 似乎为每个请求添加了一个 http 标头,其值如下:
server:Microsoft-IIS/10.0
这对我们来说是一个大问题,因为它导致我们无法通过希望使用我们服务的第三方执行的渗透测试。以前我们使用 url 重写模块来删除服务器标头,但是通过使用 WAF 已将其重新添加。
如果不讨论这是否是一个安全漏洞(我认为不是),如果我们无法控制对客户端的响应,我们就无法通过这个渗透测试。有什么选择还是我们必须放弃 Azure WAF?