WAF似乎为每个请求添加了一个http标头,其值如下:
server:Microsoft-IIS/10.0
这对我们来说是一个大问题,因为它导致我们未能通过希望使用我们服务的第三方进行的渗透测试。以前我们使用url rewrite模块删除服务器头,但是通过使用WAF,它已经将其添加回来。
没有讨论这是否是一个安全漏洞(我认为不是这样),如果我们无法控制对客户端的响应,我们就无法通过此渗透测试。有没有选择,还是我们不得不放弃Azure WAF?
答案 0 :(得分:2)
这是应用程序网关的一个已知问题,因此也是WAF的问题,我已经被告知它将在即将发布的版本中得到解决。