问题标签 [web-application-firewall]

我正在尝试评估一些 WAF

1) 性能

2) 覆盖范围

3) 准确性

4) 可扩展

我正在看的东西很少，但是如果您正在评估 WAF，您还会看什么？

我在 WAF (ModSecurity) 后面有一个 Apache Web 服务器 (2.4)。10 个远程主机具有静态 IP 地址并期望访问“test.com”。

我想根据远程 IP 地址进行一些过滤和路由。

例如：

• 当 192.168.1.1 到达 test.com 时，他得到 test.com/1/ 并且只有这个子目录。
• 当 192.168.1.2 到达 test.com 时，他得到 test.com/2/ 并且只有这个子目录。
• 等等

在 Web 服务器上，我尝试在 Virtual Hosts 配置中设置限制，但由于 WAF 用作代理，Apache 接收 WAF 的私有 IP 地址而不是远程主机的 IP 地址。

有人有什么解决办法来做这个把戏吗？

先感谢您。汤姆

我使用来自 IIS 8 的 Asp.net web，有时我在浏览器中看到了这个结果而不是 Html 结果：

我使用“FortiWeb”作为 Web 应用程序防火墙（WAF），它配置为将请求转换http为https. 此错误有时会发生在随机页面中。 我在 IIS 设置中弄错了吗？

如果整个网站的 mod_security 设置为 ON，有没有办法可以将特定页面设置为 detection_only？

用例是应用程序用于配置网站，使用 CSS 或 js 很常见，但很可能使 modsecurity 抛出 XSS 规则异常。我只想在这些页面上检测这些异常但不阻止它们。但是，在所有其他页面上，我希望阻止规则例外。

更多细节：该应用程序实际上是在另一个 Windows 服务器上运行的 IIS 应用程序，而 mod_security 在 linux 服务器上的 Apache 中运行。haproxy 将传入的请求定向到 apache，apache 通过 modsecurity 接受请求；如果通过，它会将其反向代理回 haproxy，然后将其传递给 IIS。

_{（是的，使用 haproxy 是有充分理由的。我们有数百个 https 证书，我们可以将 haproxy 指向一个装满它们的文件夹，它会根据 SNI https 请求选择正确的证书。还没有找到其他任何东西可以做到这一点。）}

因此，在 apache 端没有 .htaccess 文件有意义的目录，至少对我来说是这样。

被视为 DetectionOnlyadmin.mysite.com的路径将匹配主机和路径^/site/[a-zA-Z0-9-]+/Settings$

问题
WAF 能否用于保护要求用户在访问任何资源之前通过第三方身份提供者进行身份验证的 Web 应用程序？

问这个问题的动机
我希望我的自定义应用程序受到防火墙的保护，这样我就可以创建规则来保护我的应用程序免受恶意请求的影响。当我读到 WAF 时，它听起来像是正确的解决方案。当我读到 WAF 必须与 AWS CloudFront 结合使用并且 CloudFront 只能缓存可公开访问的内容时，我开始担心。我开始怀疑 CloudFront 对缓存私有内容的限制是否会阻止我的 WAF 规则应用于以私有内容为目标的请求。

背景信息
我创建了一个托管在 AWS EC2 实例上的自定义 Web 应用程序。Web 应用程序包含动态内容并支持 HTTP GET/OPTIONS/POST/PUT/DELETE 动词。自定义 Web 应用程序要求每个用户都通过身份提供者进行身份验证。如果未经身份验证的用户尝试访问资源，他们的浏览器将重定向到 Web 应用程序托管的可公开访问的登录页面。从登录页面，用户可以选择身份提供者。一旦选择了身份提供者，用户的浏览器将被重定向到身份提供者的登录对话框，在那里他们将被提示输入他们的凭据。一旦通过身份验证，它们将被重定向回 Web 应用程序中请求的资源。

我一定是在做一些非常愚蠢的事情，因为http://socket.io/get-started/chat/上针对 Node.JS 和 Socket.IO的教程（！）聊天示例对我不起作用。更具体地说，当我加载网页时，“连接”事件没有触发。

这是完整的 index.js：

这是完整的 index.html：

防火墙信息：

• 在 X.YY.ZZZ.QQ:3000 上，我禁用了防火墙（是的，快速而丑陋的临时黑客以避免超时并加载页面，直到我弄清楚如何正确设置 iptables 规则）通过service iptables stop
• 在本地 Windows 机器上，我可以通过 ssh 轻松访问 X.YY.ZZZ.QQ，并且在 Windows 中也禁用了防火墙，所以我认为端口在这里应该不是问题

什么有效：

• 客户端：我可以通过 InternetExplorer 访问 X.YY.ZZZ.QQ:3000，它会显示带有发送按钮的聊天栏。
• 我确定 index.html 是正在加载的文件，因为我会在每次更改 html 文件时不断更改标题标签（“1e”）
• 服务器：控制台输出在通过命令 ./node index.js 启动时显示 *"1e listener on .3000 "
• 我还不断更改版本（“1e”）以确保 node.js 文件是正确的

什么不起作用：

• 我应该在（重新）加载网页选项卡时收到控制台消息“用户已连接”，但它没有触发。我在 var socket = io.connect () 行的 HTML 代码中放了一个断点，它确实执行了该行，所以看起来 socket.io 正在加载

有没有错误代码？你如何对 Node.JS/Socket.IO 进行故障排除？有内部日志吗？我看了，但没有看到。

我很确定我忽略了一些非常原始的东西，但是由于这种网络技术对我来说是新的（我主要是 C/C++ 人），我迷路了。有任何想法吗 ？

如果规则集是全局（Cloudfront），我能够从 lambda 成功更新 WAF IP 地址规则集。

但是如果我创建一个特定于区域的规则集以便能够将其与 APP ELB 一起使用，get-ip-set 或 list-ip-set api 不会检索特定于某个区域的 IP 集，因此我无法直接从 lambda 更新这些规则集。

是否需要传递任何其他参数才能检索这些特定于区域的规则集

我想要完成的基本上是这样的：

我实际上是一名试图绕过 Web 应用程序防火墙的渗透测试人员，所以我确信这从另一边看起来很傻/很奇怪。基本上，我需要能够UNION使用动态查询来绕过过滤器。因此，在此示例中，您使用此函数将字符串从 Java 传递到 Oracle DB 。

我没有从数据库中得到任何关于我的查询有什么问题的反馈，也找不到任何类似的文档。我需要一个简单的示例，其中我UNION使用简单的动态 SQL 字符串进行普通查询。

我正在尝试连接两台服务器并使用 bsp 将一些数据文件从一台服务器传输到另一台服务器。

但我遇到如下问题：

com.jcraft.jsch.JSchException：超时：未建立套接字

和防火墙有关吗？服务器上的端口是否未打开？

在我们公司，我们目前大多数内部开发的应用程序都过着简单的 AD 身份验证生活。但是越来越需要更先进的安全解决方案。我们的网站、应用程序和服务不仅在内部可用，而且在我们的私人域之外也可用，公司应用程序正在安装在私人手机上，我们正在寻求使用来自政府的外部身份验证服务等。 ..很多活动部件。

目前我们正处于开始开发一些自定义安全解决方案的阶段，这些解决方案具有随之而来的所有缺点（可能的安全漏洞、无 SSO、重复代码）。因此，我们正在寻找一个集中的身份验证/授权平台，而Identity Server似乎完全符合要求。我们主要在 .NET 中开发。但这将是我们作为开发人员的一项投资，因为我们对此都很陌生。

我的问题：我们安全团队的同事正在寻求设置一个新的应用程序防火墙，比如Citrix NetScaler ADC，他们认为这是 Identity Server 的一个很好的替代方案，但我有疑问，似乎没有很多文档，当然不在我们需要解决方案的领域（OAuth、OpenID、AAD、SSO、定制）。因此，在我们与该产品的供应商进行进一步讨论之前，我想知道你们中是否有人对 NetScaler ADC 等应用程序防火墙有一些经验，以及它们与 Identity Server 的比较。

谢谢。