Cloudflare WAF 规则与目录遍历攻击不匹配

Cloudflare WAF rule not matching directory traversal attacks

提问人:Pablo Asenjo Navas-Parejo 提问时间:2/22/2023 更新时间:2/22/2023 访问量:172

问:

我在 Cloudflare 中设置了一个自定义 WAF 规则,以阻止对我网站的目录遍历攻击。

这是我使用的表达式:

(http.host eq "domain.com" and http.request.uri.path contains "..")

此规则应阻止 URI 路径中包含“..”序列的请求,但不起作用。

我已经检查了请求详细信息和 WAF 规则的顺序,一切似乎都井井有条。我还验证了该规则是否已启用且处于活动状态。

我注意到,当我输入任何不仅包含“..”的字符串时,例如“..foo“,则该规则按预期工作,阻止包含”..foo“序列。但是当我添加“../“ 或 ”/..“ 添加到字符串中,例如 ”../foo“,则规则将停止工作,并允许请求通过。

事先致谢:)

HTTP 安全 HTTPS URI Cloudflare

评论

答: 暂无答案

上一个:对于应用程序来说,从代码库到任何用户指定的 url 的 get 请求是安全的

下一个:Jaspersoft Studio App Transport Security - 无法加载报告