问题标签 [azure-waf]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - WAF 查询字符串中允许的最大字符数
目前我的 WAF 正在阻止我的查询字符串,因为查询字符串很长。WAF 有没有办法允许长查询字符串?否则查询字符串中允许的字符限制是多少?如果我的查询字符串大约有 8k 个字符,是否可以让我的 WAF 允许查询字符串?
c# - 自定义 WebOptimizer 缓存清除算法
我正在使用ASP.NET Core Web Optimizer。它具有缓存破坏功能,可将唯一字符串附加到脚本或 CSS 链接的末尾。
附加字符串的示例如下:....script.js?v=8UnFL4zesLGMnNgeUbnu9OOWly7_ES--Qx-E_tWr2NQ
这很好用,不幸的是,我们的公司防火墙不喜欢这样并阻止这个 URL 作为SQL 注入......(好吧,你可能会笑出声......,继续)。防火墙是 Azure WAF。
我比与公司的官僚作风更清楚,那么我有什么办法可以定制算法来回避这个问题?
我想,就我们的意图和目的而言,使用DateTime.Ticks就足够了,这也可以安抚防火墙。
api - 如果我的 API 受 OAuth 保护,我是否需要 Web 应用程序防火墙?
我实现了一个微服务模型,每个 API 都使用不记名令牌身份验证进行保护......除非提供有效的 OAuth 令牌作为请求标头的一部分,否则不会执行任何服务逻辑。
如果只有经过身份验证的用户能够执行它们,使用 Web 应用程序防火墙保护我的 API 可以解决什么问题?
azure - 如何禁用 Azure WAF 强制规则?
我一直在使用 azure 应用程序网关 WAF,它阻止了我使用谷歌邮件的注册,有什么办法可以避免这个规则吗?
azure - Azure 中的 AD FS 可以受应用网关保护还是需要 WAP 服务器?
我在 Azure 的 VM 中有一个 AD FS 服务器用于测试目的。它不适用于生产,一些停机时间无关紧要。但是,它应该可以在 Internet 上用于 SSO。
Azure App Gateway 能否用于保护 AD FS?
还是需要 Web 应用程序代理服务器?
如果我设置了 WAP 服务器,它应该受到 App Gateway 和 WAF 的保护吗?
azure - 有没有办法在 GUI 级别捕获 WAF 策略更改,然后使用它来触发 azure 管道?
我正在努力从 Azure Repo 部署 Azure WAF 策略。我已经配置了我的 AzureDevops 管道,在提交对 WAF 策略或其参数文件的更改后,它会将新的 waf 策略部署到指定的环境。这很容易。但是,如果在 GUI 级别对 WAF 策略进行了更改,然后将新更改的 WAF 导出到源代码控制,以这种方式启动我的管道,我很困惑。
我相信 PowerShell 从资源组中获取 WAF 策略并将其作为 json 文件发送到 repo 不会太难。但是事件部分的捕获完全让我难过。我已经查看了 Azure 函数触发器,但这似乎不是我想要的(我很可能是错的,因为我是这里的新 Azure 用户)。有什么想法可以为我指明正确的方向吗?谢谢你。
azure - 如何在 Azure WAF 中防止误报阻止密码字段
我将 Azure Front Door 与 Web 应用程序防火墙策略一起使用。托管规则集 1.0 已配置。
除了我网站登录页面中的密码字段之外,这一切都很好。我看到许多基于规则 1.0-SQLI-942100(SQL 注入尝试)的阻塞情况,而提交的密码是合法的,例如具有以下格式的密码:
12-(玛丽亚)_1002
由于密码字段非常关键(我确实看到了许多带有实际 SQL 注入尝试的有效块!),我不想将此字段添加到防火墙排除项中。
知道如何防止合法密码被阻止吗?我考虑过从输入中排除一些字符,但需要排除哪些字符?
azure - 带有 WAF(非隔离)的 Azure AppService 是否仍可公开访问?
假设我使用的是非隔离应用服务,建议保护 Web 应用免受 ddos 攻击的建议是在其前面放置防火墙。我的问题:即使我做了以下事情:
应用服务(IP 配置为仅允许 WAF IP)--WAF(具有所有安全层)--互联网
为什么恶意行为者会通过 WAF?我还不如应用服务提供的本机安全性那么安全吗?如果我只想将某些 IP 列入白名单(无第 7 层规则),我是否能从 WAF 中获得任何额外的好处?
amazon-waf - 将 AWS WAF 迁移到 Azure WAF 的问题
是否有可靠的方法将 AWS 中的 WAF 规则配置迁移到 Azure?如果不完全相同,是否有一种做法可以达到类似的结果?
我有一个运行良好的应用程序,在 AWS WAF 之后,但在 Azure 中,WAF 触发了大量的流量,这对于 asp.net 应用程序很常见。大多数触发器都在特殊字符上,被解释为 SQL 注入攻击。我已经尝试过 OWASP 3.1 和 OWASP 3.2 规则集。
有两件事似乎没有加起来:
- 为什么这个应用程序在 AWS WAF 之后运行良好,没有这些排除?
- 我很惊讶 Azure WAF 与标准 owin 和 ASP.net 方案不兼容?
鉴于上述描述,任何人都可以为这个 asp.net 应用程序建议一个 Azure WAF 配置,该配置应该与 AWS WAF 最相似?根据我的描述,听起来我是否缺少一些基本的东西(例如,我为 ASP.net/owin 应用程序使用了错误的规则集?)。
azure - Azure WAF 自定义规则中的最大条件数是多少?
我需要在 WAF 自定义规则中阻止多个 IP,Azure WAF 中的最大条件数(每个条件匹配一个 IP 地址)是多少?