问题标签 [web-application-firewall]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - Azure 应用程序网关 WAF
我正在尝试使用端口 443 上的公共 IP 地址配置 Azure 应用程序网关 WAF,并将后端池设置为不同 Azure 租户中的 VM。所有 SSL 证书均已正确配置。但是,通过 WAF 浏览网站时,我不断收到以下错误。
我已确认 NSG 在上述后端 VM 上允许端口 443 上的所有流量。这里可能出了什么问题?
html - 是否可以仅从特定 iframe 加载 HTML 页面?
我正在构建一个允许将 HTML 资源(HTML 页面)分配给用户的 Web 应用程序(在 PHP 中)。用户应该只能访问分配给他的页面。问题是,如果用户获得了这些页面的 URL,然后我撤销了他对该页面的许可,他仍然可以访问它。
有没有办法只允许这些 HTML 页面从我的应用程序中的 iframe 加载(例如在我的域中..)?这样,我将在我的网络应用程序中进行所需的检查,如果用户有权访问,则将页面加载到 iframe 中,否则,没有人可以访问它。
amazon-web-services - 使用 WAF 阻止垃圾邮件攻击
我在云端后面的 S3 上托管了一个网站。我每天晚上都会收到连续几个小时的垃圾邮件。垃圾邮件发送者使用不同的 IP/子网来启动相同的内容。通过访问日志,我无法识别任何常见模式或特殊请求来源。需要进行什么样的进一步挖掘才能创建 WAF 规则来避免这种情况。我在这里看到的最大损失是什么[除了云端传输成本]?
正在使用的 IP 来自 Amazon,这表明正在启动新实例或容器以启动它们。
amazon-web-services - AWS cloudformation WAF 请求标头(x-token)不为空并允许
尝试创建一个云形成模板来配置 WAF 标头为空或不检查条件,并将请求相应地传递给 ALB。还没有找到合适的模板。任何指针将不胜感激。
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-string-conditions.html
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-regex-conditions.html
azure - SQL 注入误报的 Azure 应用程序网关 WAF
我们目前正在使用启用了检测模式的 Azure 应用程序网关和 WAF,对于我们的一个 Web 应用程序,我们观察到它为 URL 抛出 SQL INJECTION ATTACK 错误消息,例如:- /Quote/AddItemToCollection?_section=%27Vehicle%27 .
现在这是我们的应用程序的有效 URL,我们如何避免这种误报消息通过?好像我们启用了预防模式,我们的网络应用程序将无法工作。对这些人的任何帮助(启用了 CRS 3.0),但是在我们使用单个 tic 并出现的情况下,像这样的一些 URL 将很常见。
有什么帮助解决这个问题吗?
azure - Azure 应用程序网关 Web 应用程序防火墙 CRS 设置 crs-setup.conf 的 PARNOIA LEVEL
我们正在使用 Azure 应用程序网关和 Web 应用程序防火墙 (WAF),我们想要将 PARANOIA LEVEL 从 2 更改为 1。
其中一位 OWASP 工程师帮助我在 crs-setup.conf 中使用命令来切换它 setvar:tx.executing_paranoia_level=1。但是现在我不知道在 Azure 和 App Gateway WAF 中我们在哪里进行了此更改?
任何人都知道此 CRS-SETUP.CONF 存在于何处以及我们如何修改 PARANOIA LEVEL?
谢谢,
azure - Azure API 管理 - 当 APM 落后于 WAF 时如何获取原始 IP
我们有以下技术堆栈
- Imperva WAF
- API 管理
- WebApp 中的 WebApi
这是当前的实现
- 客户端 IP 在 WAF 级别进行身份验证
- WAF IP 在 APIM 被列入白名单
- APIM IP 在 WebApp 级别被列入白名单
一切正常,如预期的那样。
现在,当我转到 APIM -> 分析 -> 请求时,我看到此处列出了 WAF IP,而不是客户端 IP。所以在这种情况下,我们将无法跟踪谁在使用什么
我知道我们可以选择通过订阅密钥进行跟踪,但这还不够。
有人可以建议如何配置以获得正确的IP吗?
ip-address - 我需要哪些 IP 地址才能允许防火墙访问 geocoder.api.here.com?
我们想使用heremaps geocoder.api。目前,我们的本地防火墙停止了对 heremaps 的调用。我们的管理员告诉我,无法将 URL 添加到防火墙规则 (geocoder.api.here.com)。他们需要 IP 地址。所以问题是:“geocoder.api.here.com”服务使用什么IP地址?
谢谢你的回答,马库斯
url - hash_vault 不能通过 Web 应用程序防火墙工作
我想使用似乎无法通过 WAF 工作的 hash_vault 模块使用 Ansible 检索保险库机密。
当 vault 服务器映射到 WAF 中的根 url ( https://address/ ) 但当我们使用自定义路径 ( https://address/vault ) 时,hashi_vault 模块工作,Ansible playbook 返回此错误:“无效Hashicorp VaultToken 指定用于 hash_vault 查找“
我很想找到一种方法来保留我的自定义网址 ( https://address/vault ) 并获取我的秘密!
azure - Azure 活动目录是否容易受到 DoS 或 DDOS 攻击
如果我将 Azure AD 添加到云架构中,是否还需要添加 WAF 来专门针对 DOS/DDOS 进行防护?
如果攻击无法通过身份验证是问题的前提。