问题标签 [web-application-firewall]

我正在使用 DialogFlow 构建 Google Home 应用程序。实现是通过指向我的虚拟机的 Webhook 完成的。
在 VM 中，443 端口是开放的，并且证书已配置。
但是现在我想更改虚拟机防火墙以仅允许谷歌服务器 IP 地址/子网
有谁知道在哪里可以找到这个列表？
我在以下位置找到了 Alexa 的等效列表：http: //docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
（ip-ranges.json 文件）
在此先感谢
Ester

在我们的 Web 应用程序中，我们有一个功能可以让用户重置他/她的密码。部分流程需要通过 SMS 发送 OTP。问题是，我们的页面中有一个功能，允许用户重新发送 OTP，以防由于某些原因（短信提供商错误、网络错误等）而没有收到它。在最近的渗透测试中，发现发送 OTP 的后端调用容易受到 DoS 攻击。黑客可以运行它来向用户发送短信。

我们的防火墙中已经有一种机制，可以检测拒绝服务的自动攻击。问题是，防火墙将其归类为攻击有每秒请求的最小限制。（例如每秒 100 个请求，FW 会阻止它，但任何低于它的请求都允许）。

假设黑客做了一个程序以每秒通过短信重新发送 otp，防火墙将无法检测到它。我们可以做的另一个选择是以编程方式处理它，但我们想不出最好的方法来做到这一点。任何人都可以在这方面给我们建议吗？我们不能仅仅限制 OTP 可以重新发送的次数，因为我们担心它对用户体验的影响。

简而言之，我试图完成的是以下内容：

• 我想创建一个 WAF 条件/规则组合来阻止不在国家白名单中的流量。
• 我想使用 CloudFormation，以便可以对其进行版本控制并轻松部署到不同的环境。
• 我想将它与现有的 CloudFront 分配相关联（这是环境之间的不同之处）。理想情况下，无需重建 CloudFront 分配。

这似乎很简单，可以在 Web 控制台中设置，但 CloudFormation API 似乎更受限制？

我能够获得“WAFRegional” GeoMatchSet，Rule并且WebACL部署良好。然后，当尝试将其与现有的 CloudFront 分配相关联时，似乎我想要使用的不是“WAFRegional”类型，而只是“WAF”类型。但是没有GeoMatchSet“WAF”的API？

运行上面的代码给了我错误An error occurred (ValidationError) when calling the CreateChangeSet operation: Template format error: Unresolved resource dependencies [arn:aws:cloudfront::999999999999:distribution/AAAAAAAAAAAA] in the Resources block of the template。

最后，是否可以使用带有 、 和现有 CloudFront 分配的 CloudFormation 来构建GeoMatchSet它ByteMatchSet？

我使用 F5，但我遇到了问题。我想构建一个检查以下场景的 Irule

是否可以创建此 Irule？

我创建了一个依赖简单功能即服务的微服务应用程序。由于这个应用程序是基于 API 的，我分发令牌以换取一些个人登录信息（Oauth 或登录名/密码）。

为了清楚起见，开发人员将使用以下方式访问我的应用程序：https://example.com/api/get_ressource?token=personal-token-should-go-here

但是，即使token没有提供，我的服务器和应用程序逻辑仍然会受到攻击，这意味着匿名攻击者可能会在没有登录的情况下淹没我的服务，从而导致我的服务中断。

我最近遇到WAF了，他们承诺充当中间人，过滤滥用攻击。我的理解是，WAF 只是反向代理我的 API，并在将请求委托给我的实际后端之前应用一些已知的攻击模式过滤器。

我真正没有得到的是：如果攻击者可以直接访问我的后端 IP 怎么办？！他不能直接绕过我后端的WAF和DDoS吗？WAF 保护是否仅依赖于我的原始 IP 不被泄露？

最后，我读到 WAF 仅在它能够通过 CDN 缓解 DDoS 以在需要时跨多个服务器和带宽传播第 7 层 DDoS 攻击时才有意义。这是真的吗？或者我可以自己实现 WAF 吗？

我正在为 Microsoft Azure 提供的天蓝色前门服务设置 WAF 规则。目前，我正在使用默认规则集 1.0 提供的 OTB 来阻止前 10 个 OWSAP 威胁。

启用默认规则后，我们观察到 403 错误并且无法理解哪个策略阻止了请求。

对 WAF 策略的任何更改至少需要 7 到 15 分钟才能应用。我需要了解是否有任何有效的方法来进行更改和测试。

确定需要启用或禁用哪些规则集的最佳方法是什么？

我们尝试启用所有规则集并且网站开始抛出 403 错误。目前，我们一次启用一个规则并验证该规则是否阻止任何请求。

我在 Azure 上运行一个 asp.net Web 应用程序，前面有一个应用程序网关，启用 WAF（Web 应用程序防火墙）。

但是我的许多来自前端的 http 请求都被 WAF 阻止了，例如我的 JSON 负载：

错误信息是：

似乎有效载荷中不允许使用“”。

我尝试使用 htmlencode 将 "" 编码为 "" ;" 但是“；” 还是被WAF屏蔽了。

那么我应该如何编码我的有效载荷以避免它被阻止呢？有什么建议吗？谢谢。

这是我的设置以及我要完成的工作-

我有一个前端服务器 [FE]，后端服务器 [BE]。我正在尝试设置自己的 VPC。FE和BE在同一个Region的不同Zone。FE 有自己的服务账号——fe-sa，BE 有自己的服务账号——be-sa。

通过阅读文档，我了解我们可以根据服务帐户设置防火墙规则，以允许/拒绝访问一组实例。

我试过切换目标和过滤器，但没有帮助。我尝试用 FE 服务器 IP 替换过滤器 - 这似乎有效（但我知道这不是正确的方法）我也尝试删除所有内容并尝试重新尝试

然而，这似乎阻止了所有来自任何来源（内部和外部 IP）的对 BE 的传入请求。

我希望来自 FE -> BE 的成功 ping 以及来自本地笔记本电脑的 ping -> 被阻止。

目前使用上述规则，我看到 FE -> BE 和笔记本电脑 -> BE 都被阻止。

/例如，当 URL 有尾随时，我想通过 WAF（Web 应用程序防火墙）提出 HTTP404 Not Foundwww.cde.org/aabb/

我正在关注这篇文章，但我不知道是否/如何做到这一点。

当请求被 WAF 阻止时，您可以定义自定义响应状态代码和响应消息。支持以下自定义状态代码：

200 OK 403 Forbidden 405 Method not allowed 406 不可接受 429 Too many requests

这是否意味着WAF不可能返回404？

我在网上找到的几乎所有关于 modsecurity 白名单的 SecRule 示例都包括关闭规则引擎，例如：

阶段:1,nolog,allow,ctl:ruleEngine=Off,id:23023

但是，据我从文档中得到的，“nolog”与“allow”结合起来应该已经具有完全相同的效果——即中断规则处理并阻止任何日志条目。因此，以下配置不是绝对等效的吗？

阶段：1，nolog，允许，id：23023

如果我错了，两者之间的区别在哪里？

我正在使用 modsecurity 2.9.3。