本帖最后由 张涵博 于 2024-7-31 09:57 编辑
问题现象
AF8.0.45版本,前期已经取消勾选“替换服务器出错页面(5xx)”,客户正常业务依旧被拦截,查看安全日志记录拦截日志类型为:“过滤HTTP出错页面”
告警现象
排查步骤: 1、检查引用web防护模板-高级设置,确认是否取消了应用隐藏 2、确认该拦截日志除了与WEB应用防护策略的应用隐藏功能有关外,还与web防护高级规则内的漏洞防扫描功能有关,检查防漏扫高级设置启用了隐藏服务器信息,将该设置禁用取消勾选后,客户再次测试业务恢复正常
解决方案: 1、关闭应用隐藏的“替换服务器出错页面(5xx)”和漏洞防漏扫中的“隐藏服务器信息”
2、当直通报错或者安全日志提示“过滤HTTP出错页面”,可以关闭WEB应用防护策略的应用隐藏功能和漏洞防扫描功能中相应的防护策略进行解决,切勿直接在防护功能将应用隐藏和漏洞防扫描直接关闭,该操作将影响实际安全防护效果,最好根据实际报错进行策略调整。
Ps: 1、WEB应用防护中的应用隐藏策略的动作是独立的;比如,不管WEB应用防护策略动作是允许还是拒绝,应用隐藏勾选了替换出错页面仍然会替换页面。
2、针对FTP服务器不支持替换出错页面
3、截止AF标准版本8.0.85,开启SSL解密后,设备无法支持页面替换的应用隐藏功能.
应用隐藏原理:AF收到对应的FTP数据包后,可以隐藏FTP服务器的软件名称及版本,修改数据包中FTP版本信息后再转发
HTTP隐藏:当客户端访问Web网站的时候,服务器会通过HTTP报文头部返回客户端很多字段信息,例如Server、Via等,Via可能会泄露代理服务器的版本信息,攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。可以隐藏HTTP服务器报文头部返回的字段信息、替换服务器出错页面(5XX)、替换请求出错页面(4XX)
|