我们目前正在使用启用了检测模式的 Azure 应用程序网关和 WAF,对于我们的一个 Web 应用程序,我们观察到它为 URL 抛出 SQL INJECTION ATTACK 错误消息,例如:- /Quote/AddItemToCollection?_section=%27Vehicle%27 .
现在这是我们的应用程序的有效 URL,我们如何避免这种误报消息通过?好像我们启用了预防模式,我们的网络应用程序将无法工作。对这些人的任何帮助(启用了 CRS 3.0),但是在我们使用单个 tic 并出现的情况下,像这样的一些 URL 将很常见。
有什么帮助解决这个问题吗?
也许,您可以调整规则或使用自定义规则。
为了调整规则,您可以启用 WAF 诊断以查看有关在 WAF 上触发的规则的更多信息。如果诊断日志文件存储在存储帐户中,您可以下载它们。您可以在日志中找到错误消息以及触发它的原因,例如规则 ID、消息详细信息。
如果在查看日志后您能够确定该条目是误报或日志捕获了不被视为风险的内容,您可以选择调整将要执行的规则。然后您可以搜索特定的 ruleID 并取消选择它。您可以从这篇好文章中获得更多详细信息。
您还可以编写自己的规则来扩充核心规则集 (CRS) 规则。自定义规则允许您创建自己的规则,这些规则会针对通过 WAF 的每个请求进行评估。这些规则的优先级高于托管规则集中的其他规则。阅读有关Web 应用程序防火墙的自定义规则的更多详细信息。
希望这可以帮助你。