问题标签 [web-application-firewall]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 正确配置基于路径的 WAF 后的 Open ID Auth
我在使用基于路径的路由将我的 Open Auth ID .net Core 2 应用程序配置为 Web 应用程序防火墙后面的应用程序服务时遇到问题。
我的应用程序是 myapp.azurewebsites.net,其网络限制使其无法从公共 Internet 访问。我在同一个 VNET 中部署了 WAF,并允许使用基于路径的路由“/Admin*”在 WAF 和应用服务之间进行流量。
效果是https://myapp.azurewebsites.net无法通过 Internet 访问,但https://myWAF/Admin可以访问并映射到应用服务。
此设置工作正常,但是当我将 Open ID auth 引入我的 .net 核心应用程序时,传出 Location 标头包含其 myapp.azurewebsites.net/signin-oidc 作为回复 URI。
这不起作用,因为无法从 Internet 访问主机。我尝试了几种方法;
- 我在 Azure App Registrations 的应用程序注册 URL 中添加了 WAF URL ( https://myWAF/Admin/signin-oidc ),以允许 AAD 接受修改后的 URL(作为合法的
- 我在我的 startup.cs 中编写了 app.UseForwardedHeaders (强制重用所有 X-Forwarded 标头)。这似乎对我的应用服务发送的 Location 标头没有任何影响。我认为 WAF 正在发送 X-Forwarded 标头,但如果是,则 Open Auth ID 堆栈没有使用它们。
- 我在 WAF 中编写了一个标头重写代码,以将 myapp.azurewebsites.net 替换为 WAF URL。这确实会正确替换 URL 并允许回调,但随后会因关联错误而失败(这似乎是一个通用的 Open ID 堆栈错误,意思是“随机数不匹配”。随机数可能基于被调用的 URL回到 - 在我的情况下,由于 WAF 重定向而发生变化,但这是一个猜测)。
在我看来,我应该能够在我的应用程序中使用 X-Forwarded 标头来解决在 WAF 中对标头重写进行编码的需要,但是我找不到成功使用它来更改的示例Open ID 发出的回复 URI。
我的问题;使用 X-Forwarded 标头是在 OAuth 上下文中处理代理的正确方法,还是在 WAF 中重写标头是正确的方法?
我已经设定
web-application-firewall - WAF 和 API 管理的区别
想了解 WAF 和 APIM 有什么区别(如 APIGEE 或 AZURE APIM)。
WAF 有哪些功能,需要选择哪些功能来保护后端 Web 应用程序。
先感谢您。
- 阿迪亚
kubernetes - Traefik Kubernetes WAF
我有一个使用 Traefik 作为反向代理的 Kubernetes 集群。
在这种情况下,将 a 用于 WAF 的最佳方式是什么,例如,对于 Traefik 或 Cloudflare DNS 级别 WAF 不可用的 NGINX WAF。
firewall - 如何在 Fortigate CLI 中的接口上设置 IP 地址?
我想在 Fortinet Fortigate CLI 的 Port1 上设置 IP 地址。
我正在尝试使用以下命令:
set ip 192.168.176.0 255.255.255.0
但我在 255.255.255.0 之前收到以下错误:
IP地址非法值解析错误
我已经尝试了很多,但未能理解这个问题背后的原因。
http - 为什么我们不应该在 GET 或 HEAD 请求中允许 body?
我是从 InfoSec 方面而不是 AppDev 方面来讨论这个问题的,我只是想先说明这一点。问题是我的 WAF 使用响应阻止了某些图像,HTTP protocol compliance failed:Body in GET or HEAD requests。我需要证明保持这条规则有效,所以我作为非开发人员问:
- 这是因为这是 GET 和 HEAD 请求的规则而被阻止,还是我们可以在 GET 和 HEAD 请求中允许 Body,但这真的不是一个好主意?
- 为什么这不是一个好主意?在 GET 或 HEAD 请求中允许 Body 会产生哪些潜在问题?
提前感谢大家的帮助。
azure - Azure 应用程序网关 - 防止重定向
我有一个使用端点 www.test.com 运行的 AppService。我已经部署了一个 Application Geteway 并设置了一个后端池来将流量从 AG 转发到 www.test.com。然后,我创建了 DNS 记录以将 www.test.org 指向 AG IP。当我导航到 www.test.org 时,浏览器会执行 301 重定向到 www.test.com。
我想从用户的角度防止重定向,但是我希望请求转发 www.test.com 但浏览器保持不变。
有趣的是,我之前曾在另一个站点上使用完全相同的配置(我认为)完成此操作,唯一的例外是使用 WAF2 层。
javascript - 通过 javascript 验证 Web 应用程序防火墙 (WAF) 规则
应用于已经开发的 Web 应用程序的 WAF 规则。为了克服WAF阻塞输入,需要在表单提交失败之前转换输入格式或编码输入。如果有可能使用 javascript 验证 WAF 规则,请指导我如何实现。
如果有任何可用的 JS 库或 api,请提及。
azure-active-directory - AAD 回复 url 由 Azure 中的 WAF 标记
我已经在 Azure FrontDoor 中启用了带有检测模式的默认策略的 Web 应用程序防火墙。在 WAF 生成的日志中,我们可以看到防火墙将 AAD 中设置的回复 url 标记为 Block。
我相信防火墙将其检测为威胁。由于 url 是 AD 身份验证工作所必需的,那么可以做些什么来确保安全?或者这可以忽略不计?
angular - 在主机显示“HTTP 错误 403.0 - ModSecurity 操作您无权查看此目录或页面”之后。
Angular 生产构建和 C# 后端发布已成功完成。dist 和 publish 文件夹都上传到 Plesk 服务器。
之后,它显示错误
当 Web 应用程序防火墙关闭时,它会正常工作!那么问题是什么?
linux - 使用 nginx 阻止直接 IP 访问
我有以下 nginx 配置
当我点击 url http://127.0.0.1/test/test2/index.php(来自 POSTMAN)时,我得到 403。很好。但是在 Headers 中添加 Host -> mydomain.com 我得到 200。
当我添加add_header Host "$host";nginx 配置时,我注意到 nginx 在其主机变量中有 mydomain.com。根据 nginx 文档,我知道在 http 请求中故意提到 Host 标头会覆盖 127.0.0.1。
但是通过这种方式,攻击者可以绕过 Cloudflare WAF 直接向 Web 服务器发送请求。那么阻止来自nginx的此类请求的解决方案是什么?
我尝试了以下解决方案,但对我不起作用。
https://www.digitalocean.com/community/questions/how-to-block-access-using-the-server-ip-in-nginx
https://blog.knoldus.com/nginx-disable-direct-access -通过-http-and-https-to-a-website-using-ip/