个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我一直在研究 ASP.NET 应用程序中的 WAF 发现。 WAF 是带有 OWASP CRS 的 ModSecurity。调查结果之一是:
URL 文件扩展名受策略限制,规则 ID 920440
它在文件 WebResource.axd 和 ScriptResource.axd 上触发。
我做了一些研究。我发现这些文件是 HTTP 处理程序,它们嵌入在程序集中。我发现了上述规则 - 这是一个简单的规则,它只是检查文件扩展名并基于此阻止请求。 .axd 恰好是列出的文件扩展名之一。
据我了解,这些文件可能与使用 AJAX 相关(我可能错了)。但是,我没有设法在互联网上找到任何原因/解释,为什么这些被 OWASP 列入黑名单。唯一可能提供线索的信息是 this question .
为什么 .axd 文件被列入黑名单?它们被弃用了吗?这些是否可以列为规则的异常(exception)情况,或者这些是否会带来一些实际风险?最后,如何修改 ASP.NET 应用程序使其不需要这些文件?
最佳答案
也许来不及回复,但有几个安全问题,包括 Oracle 填充攻击 CVE-2010-3332、Telerik 远程代码执行 CVE-2019-18935 等等,这些都与 axd 文件有关。
关于asp.net - 为什么 ModSecurity OWASP 规则会阻止 .axd 文件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57595248/
26
4
0
我正在寻找一种方法,使规则(触发了哪个规则)的消息信息出现在错误和/或审核日志文件中,并在响应 header 中发送回客户端。我知道有阶段“msg”,但它不会在响应 header 中将信息发送回客户端
我正在尝试在Docker容器中使用ModSecurity Rule set设置Apache服务器。我遵循了一些教程(this,this和this)来构建安全的Apache服务器。但是我无法使服务器使用
我做了很多研究,找到了很多东西,但还没有能够确定一些可以满足我需要的东西。首先,我在运行 ModSecurity 2.7.3 的 CentOS 7 服务器上。 目标 我希望能够扫描除某些参数之外的所有
我已经安装了 Owasp ModSecurity,之后我的应用程序上的所有页面都有这个规则警报。 ModSecurity: Warning. Match of "eq 1" against "&ARG
我正在尝试为 Apache 配置 modsecurity 以限制每单位时间可以访问给定资源的点击次数(假设每个资源每分钟 10 次点击,无论请求是哪个 IP 地址)。资源具有“https://myho
今天,我为 nginx 安装了 mod_security。我将以下 block 添加到 /etc/nginx/nginx 中: server { listen 80; server_nam
我根据 this link 通过 nginx 入口 Controller 的配置映射启用了 modsecurity: "true"和 enable-owasp-modsecurity-crs: "tr
我在 Mod 安全方面遇到了很多问题。我正忙于为工作中的项目编写 CMS,而在开发页面以编辑特定数据库记录时,我不断收到 403 错误。在我的头撞在 table 上几个小时后,调整了一些代码,我终于改
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维
我在 CentOS 7 上设置了 Apache2 + PHP5 我的 Web 应用程序的一些 PHP,它们接受 UUID 作为 GET 参数,这违反了 ModSecurity URI 模式。 我想设置
ModSecurity 尝试打开 url 时出现误报:https://www.galgani.it/solitudine-contesti-virtuali-internet-facebook-soc
我已经安装了 ModSecurity 和核心 OWASP 规则集版本 2.2.5 几个月了,但是网站上的一个 JSON 端点最近停止响应,并且 Apache 日志得到以下内容: [Tue Jul 21
我正在尝试为 Nginx OSS Web 服务器编译 ModSecurity。我已按照他们的“快速入门指南”中的所有说明进行操作,但遇到了问题。连接新模块后,配置测试失败。 /var/log/ngin
我正在尝试一起构建 Nginx 和 ModSecurity 以便使用 OWASP- Core Rule Set Project . 根据 modsecurity 下载页面,最新版本的 modsecur
我正在尝试在 Windows 中安装 ModSecurity 以帮助保护我的 Coldfusion/Railo 网站。我下载并安装了 MSI,但在我测试以确保它正常工作时它似乎没有阻止 SQL 注入(
基于 DOM(类型 0)的 XSS 不需要向服务器发送恶意代码,因此它们也可以使用静态 HTML 页面作为攻击向量。此处的虚拟攻击字符串示例如下: http://www.xssed.edu/home.
我让 Apache 和 Modsecurity 一起工作。我试图通过请求的 header (如“facebookexternalhit”)来限制命中率。然后返回友好的“429 Too Many Req
我在我的 Cpanel 服务器上遇到了这个错误。它不会在每次更新时发生,只是一些 SQL。 [Sat Mar 11 03:48:18.409435 2017] [:error] [pid 31376:
modsecurity 是否有一个在没有 Apache 的情况下工作的 nginx 或 Tomcat 模块? 最佳答案 是的。 Mod-security 有用于 nginx、IIS 和 java 的模
我在 modsecurity 中有很多规则,但如果主机在 SSL https://SERVER_IP 中是数字,则没有任何规则有效,我得到这样的响应: 400 Bad Request No requi
我是一名优秀的程序员,十分优秀!