Шлюз приложений Azure WAF с ложным срабатыванием при внедрении SQL

Question

Мы используем шлюз приложений Azure и WAF с включенным режимом обнаружения на данный момент, и для одного из наших веб-приложений, которое мы наблюдаем, оно выдает сообщение об ошибке SQL INJECTION ATTACK для таких URL-адресов, как: - / Quote / AddItemToCollection? _Section =% 27Vehicle% 27.

Теперь это действительный URL-адрес для нашего приложения, и как мы можем избежать появления таких ложных положительных сообщений? Как будто мы включили режим ПРОФИЛАКТИКА, наше веб-приложение не будет работать. Любая помощь в этом, ребята (CRS 3.0 включен), но некоторые URL-адреса, подобные этим, будут распространены, когда мы используем один тик, и это отображается.

какая-нибудь помощь, чтобы заняться этим?

Answer 1

Возможно, вы могли бы настроить правила или использовать пользовательские правила.

Для настройки правил вы можете включить диагностику WAF для просмотра дополнительной информации о правилах, которые запускаются на WAF.Вы можете загрузить файлы журнала диагностики, если они хранятся в учетной записи хранения.Вы можете найти сообщения об ошибках и причины их возникновения, такие как ruleID, сведения о сообщениях в журналах.

Если после просмотра журналов вы можете определить, что запись является ложноположительной или журнал фиксирует что-тоэто не считается риском, у вас есть возможность настроить правила, которые будут применяться.Затем вы можете найти конкретный ruleID и отменить его выбор.Вы можете получить более подробную информацию из этой хорошей статьи .

Вы также можете написать свои собственные правила для дополнения правил основного набора правил (CRS).Пользовательские правила позволяют вам создавать свои собственные правила, которые оцениваются для каждого запроса, который проходит через WAF.Эти правила имеют более высокий приоритет, чем остальные правила в управляемых наборах правил.Подробнее о Настраиваемые правила для брандмауэра веб-приложений .

Надеюсь, это поможет вам.