由于Scriptresource.axd

Question

  

带有Ajax控件工具包的ASP.NET（框架3.5，IIS 8.5，Windows Server 2012R2）被WAF（Web应用程序）阻止   防火墙）。以下是WAF的屏幕截图

  

这些是WAF的签名

  

我尝试在网页上禁用Ajax组件，但仍然   同样的问题。

     

任何建议??

Answer 1

它引用了评级为“高”的ASP.NET填充攻击向量。根据您的WAF，这可能是阻止应用程序的预构建签名，并且可能与Ajax控件没有直接关系。

CVE-2010-3332

有几种路线可供选择：

1. 确定您是否实际上在解密期间公开了敏感的IIS错误代码并以代码解析。这是一个旧的CVE，因此最新的ASP.NET将减轻它的负担。其余的取决于开发人员。
2. 验证您的系统是否为最新补丁程序（ASP更新，Windows更新，任何更新）。 Microsoft漏洞已在补丁MS10-070中修复。
3. 如果这实际上是真正的误报，则需要训练WAF将此代码和应用程​​序行为视为可接受。如果您已经用完代码和修补程序，并且确定不是导致签名块的CVE，这是最后的选择。

Web应用程序防火墙与传统防火墙（或NG）有很大的不同，它们需要针对特定​​的应用程序进行定制才能正常工作。这很痛苦，但是需要适当保护单个应用程序。

您的WAF应该能够在学习透明模式下运行，以了解可接受的行为并围绕默认应用程序行为创建策略。学习过程完成后，您便可以开启强制行为并警告错误。然后修复WAF或应用程序中的错误。一旦完成，您就可以强制执行并阻止错误。如何完成此操作取决于WAF供应商。

由于这是CVE签名块，因此您可能需要更深入地研究.Net如何处理URL。