我们正在使用 Azure 应用程序网关和 Web 应用程序防火墙 (WAF),我们想要将 PARANOIA LEVEL 从 2 更改为 1。
其中一位 OWASP 工程师帮助我在 crs-setup.conf 中使用命令来切换它 setvar:tx.executing_paranoia_level=1。但是现在我不知道在 Azure 和 App Gateway WAF 中我们在哪里进行了此更改?
任何人都知道此 CRS-SETUP.CONF 存在于何处以及我们如何修改 PARANOIA LEVEL?
谢谢,
我不知道 CRS-SETUP.CONF 的存在。我认为 Azure WAF 就像一个 PaaS 服务 Azure 不应该将底层配置暴露给用户。Azure 应用程序网关 (WAF) 通过基于 OWASP 核心规则集 3.0 或 2.2.9 定义的规则保护 Web 应用程序。如果要控制 conf 文件,可以联系 Azure 支持。
如果您有一些误报,您可以做一些事情来阻止它阻止您的流量。
使用WAF 排除列表。WAF 排除列表允许您从 WAF 评估中省略某些请求属性。
禁用规则。有关详细信息,请参阅通过 Azure 门户自定义 Web 应用程序防火墙规则。
禁用规则组或特定规则
搜索要禁用的规则或规则组。清除要禁用的规则的复选框。选择保存。
建议阅读本文以了解 Azure 应用程序网关的 Web 应用程序防火墙 (WAF) 故障排除。