我们在前端使用Application Insights,还将Azure Front Door与WAF(Web应用程序防火墙)策略结合使用。
我可以在WAF日志中看到很多请求被一些WAF管理规则阻止。
当我检查WAF日志时,我发现请求被cookieai_session和ai_user(应用洞察cookie)中的值阻止。
阻止请求的规则:
*(942210)由于ai_session cookie中的OR值如下所示,检测到1/2- block请求的链接SQL注入尝试:D/6 NkwBRWBcMc 4或7+ EFP|1647504934370|1647505171554
*(942450)已识别SQL十六进制编码-由于ai_user cookie中的Ox值而阻塞,如下所示:mP4urlq9PZ9K0xc19D0SbK|2022年3月17日上午10时53分02秒452秒
*(932150)远程命令执行:直接Unix命令执行-阻塞,原因是ai_session cookie值为:KKNDKlGfvxZWqiwU 945/抄送|1647963061962|1647963061962
是否有办法强制App Insights生成“安全”Cookie?
为什么Azure生成的Cookie值会在另一端导致Azure防火墙阻止请求?
我知道我可以允许这些WAF规则,但有没有其他解决方案?
1条答案
按热度按时间qni6mghb1#
我们也开始遇到这种错误;禁用(或设置为允许)OWASP规则,如您所指示的将工作。
我已经在项目页面上打开了一个错误报告,在这里更详细地概述了这一点:https://github.com/microsoft/ApplicationInsights-JS/issues/1974问题的关键是,正如您所指出的,WAF规则的Regex过于热心。
Cookie最终使用的ID由以下代码部分生成:https://github.com/microsoft/ApplicationInsights-JS/blob/0c76d710a0cd465f0b8b5e143250898122511874/shared/AppInsightsCore/src/JavaScriptSDK/RandomHelper.ts#L125-L145
如果开发商选择,他们有各种方法来解决这个问题:
1.根据已知正则表达式列表测试生成的cookie,然后在失败时重新生成。
1.删除一些令人不快的组合以完全避免规则。
我们将不得不看看如何发挥出来,如果你不能做到这一点,理论上你可以分支项目,然后添加这样的变化自己,但我不建议出售SDK。