我们目前正在使用Azure Application Gateway和WAF,并且已启用检测模式,对于我们的一个Web应用程序,我们正在观察的结果是对URLS抛出SQL INJECTION ATTACK错误消息,例如:-/ Quote / AddItemToCollection?_section =% 27Vehicle%27。
现在这是我们应用程序的有效URL,如何避免出现这种误报消息?好像我们启用了PREVENTION模式一样,我们的网络应用将无法运行。对这些人的任何帮助(已启用CRS 3.0),但是在我们使用单个tic并显示出来的地方,像这样的URL会很常见。
有什么解决方法吗?
答案 0 :(得分:0)
也许您可以调整规则或使用自定义规则。
要调整规则,可以启用WAF诊断以查看关于WAF上触发的规则的更多信息。如果诊断日志文件存储在存储帐户中,则可以下载它们。您可以找到错误消息及其触发原因,例如ruleID,日志中的消息详细信息。
如果在查看日志后可以确定该条目为误报或日志捕获了不被视为风险的内容,则可以选择调整将要执行的规则。然后,您可以搜索特定的ruleID并取消选择它。您可以从此good article中获取更多详细信息。
您还可以编写自己的规则来扩充核心规则集(CRS)规则。自定义规则使您可以创建自己的规则,并对通过WAF的每个请求进行评估。这些规则比托管规则集中的其他规则具有更高的优先级。了解有关Custom rules for Web Application Firewall的更多详细信息。
希望这可以为您提供帮助。