问题标签 [web-application-firewall]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

190 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
282 浏览

security - URLScan 和百分号

所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:

1) 将 VerifyNormalization 设置为 0(禁用)
2) 从“DenyUrlSequences”部分删除百分号

做一个iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?

0 投票
4 回答
6157 浏览

asp.net - 是否有适用于 asp.net 的 Web 应用程序防火墙?

我想针对简单的 dos/xss/sqli/etc 加强我的网站......但我现在不想深入研究安全编程,所以我想使用现成的类或库,比如 linux 中的“mod_security”。

大约一年前,我为 asp.net 找到了一个类似 modsec 的项目,但现在在谷歌中我搜索了太多,但没有什么有趣的。

有人知道 .net 中的 WAF 吗?

问候。

0 投票
1 回答
416 浏览

ruby-on-rails - 任何人都在使用 detrusion.com,用于 ruby​​ on rails 的 Web 应用程序防火墙

PS:我正在做一些随机搜索,然后我得到了detrusion.com

  1. 这是什么网络应用防火墙?
  2. 这个怎么运作 ?
  3. 任何性能影响,如果是,那么有多少?
  4. 我应该使用这个 destroy.com 还是其他更好的东西。

有人吗??

0 投票
1 回答
756 浏览

security - Web 应用程序防火墙有用吗?

最近,我的兄弟建议我使用 mod_security。我研究了它的真正含义和作用,但我很难决定是否应该使用它。这就是我认为让我无法使用它的原因。

  • 稍微影响我的网站性能。规则越多,速度就越慢。
  • 它并没有完全过滤掉所有的攻击(这是可以理解的,因为任何软件都不可能真正保护一切)。
  • 有时,它可以阻止无辜的用户。
  • 添加另一个软件意味着添加另一个维护它的责任。

现在真正的问题是:

  • 如果 mod_security 不能过滤所有内容,而您仍然需要确保您的 Web 应用程序是安全的,那么为什么不正确地编写一个安全的 Web 应用程序而不运行任何 Web 应用程序防火墙呢?

  • 由于它是我们的 Web 应用程序,因此我们比任何第三方软件都更了解用户的预期输入。让第 3 方软件检测攻击,然后在我们的 Web 应用程序中编写输入验证就像是双重检查(虽然它很好,但性能成本也会翻倍)。

0 投票
6 回答
1214 浏览

php - 我可以使用 Web 应用程序防火墙安全吗

我看到许多 Web 应用程序防火墙,例如带有 OWASP 扩展的 mod_security

如果我在我的服务器中使用它,我能确定 99% 没有人可以用 PHP 代码入侵我的网站吗?喜欢 XSS ...

0 投票
1 回答
955 浏览

joomla - 403 访问禁止 Web 应用程序防火墙安全

当我尝试在美德商城上更新产品时,我收到“403 访问被禁止的 Web 应用程序防火墙安全警报”。我试图更改不同的产品价格,但我仍然被禁止 403 访问。我试过用不同的用户登录,但它给了我同样的错误。我还将日志文件夹和 cgi-bin 文件夹权限更改为 755,但它仍然给我 403 访问禁止 Web 应用程序防火墙安全警报触发错误。

![每次我想更新我的产品价格或尝试编辑 k2 i 条款时都会出现此问题][10]

我不知道该怎么办了,你能帮帮我吗

0 投票
1 回答
825 浏览

amazon-web-services - 在 Amazon AWS 中设置 NAT/WAF

我有以下问题:

我想在以下场景中设置 NAT 或 WAF:

简而言之,我的场景是:VPC、Internet 网关、路由表(默认来自 VPC)和带有 EB 的子网。

我尝试了一些步骤,我必须创建另一个路由表,在第二个路由表中将 NAT instanc 作为目标设置为 0.0.0.0/0 并将 EB 子网附加到这个路由表;将 NAT 子网附加到主路由表,这似乎不起作用。

尝试了Amazon AWS scneario 1 示例,这是我当前的配置,但没有结果。

正确设置它可能缺少什么?

提前致谢。

0 投票
3 回答
2135 浏览

security - Azure 云服务 Web App 未找到 -404

我有一个托管在 azure 云服务中的 webapp。

我们想在下面的每个设置中将 WAF 放在 Web 应用程序的前面:

  1. 我们创建了一个 bladomain.com.au
  2. DNS 记录指向 IMPERVA IP 地址
  3. IMPERVA 然后指向 bla.azurewebsites.net

如果我使用 bla.azurewebsites.net 直接访问该站点,则它可以正常工作。

但是,当我尝试访问 bla.zurewebsites.net 时,它显示如下: 在此处输入图像描述

我尝试将 bladomain.com.au 添加到 azure Web 应用程序自定义域,但它显示以下错误消息:

错误:无法找到指向“bla.azurewebsites.net”的“bladomain.com.au”的 DNS 记录。如果您想配置 A 记录,您必须首先使用您的 DNS 提供商创建 CNAME 记录..."

与上面的错误消息有点混淆,因为 bladomain.com.au 的 CNAME 应该指向 Imperva....

感谢任何帮助。

0 投票
1 回答
99 浏览

sql - SQL中可以用哪个关键字代替“FROM”?

我试图绕过一个waf,FROM在SQL中可以使用哪个关键字来替换?

0 投票
1 回答
998 浏览

amazon-web-services - 更新 AWS WAF IP 列表以阻止 IP

我有 nginx 在 ELB 后面运行,它指向应用程序 Uwsgi。
我想根据那里的请求频率禁止 IP。
在深入研究该主题后,我发现我需要为此使用 WAF。
我可以手动阻止IP。
现在我想自动化这个。
我想从 nginx 日志中读取 IP,或者使用 fail2ban,然后以某种方式更新 WAF IP 列表以阻止这些 IP。

我的问题是我不知道如何执行此操作以某种方式更新 WAF IP 列表部分。我找不到 boto 实现教程或任何其他方式来做到这一点。
我相信他们一定是一种方式。
谁能指导我。


12345678910