Azure WAF V2 对表单输入数据的误报 SQL 注入攻击

问题描述 投票:0回答:1

我们使用 Azure ASE v3 通过 Azure 应用程序网关和 WAF V2 托管我们的 Web 应用程序。我们的用户在应用程序中输入表单的数据收到了大量误报。

例如

  • “匹配数据”:in(在ARGS中找到:药物列表:Aspirin(81mg)
  • “匹配数据”:不像 ARGS 中发现的:supportPersonsAnswer:支持人员感觉不喜欢服用更多阿司匹林。
除了排除药物之外,还有什么标准方法可以解决这个问题吗?我知道这些短语是由于 SQL 关键字的组合而被标记的,但同时这些是用户输入的合法句子。

sql-injection websecurity azure-waf
1个回答
0
投票
我不熟悉 Azure ASE 或 WAF,因此这可能根本没有帮助。 SQL注入的原理是用户能够传递一个字符串,然后该字符串将由服务器作为命令(即通过查询)执行。如果您设法使该输入永远无法执行,例如使用准备好的语句、清理危险字符或字符序列等,那么您可能可以避免在 WAF 中包含该特定字段/文本框。查看 OWASP 关于 SQL 注入的指南,以及来自 NIST 等组织的最佳实践,以帮助您入门。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.