WAF блокирует веб-сайт ASP.NET из-за Scriptresource.axd

Он ссылается на вектор атаки заполнения ASP.NET с рейтингом «ВЫСОКИЙ». В зависимости от вашего WAF это, вероятно, встроенная подпись, блокирующая ваше приложение, и она может не иметь прямого отношения к элементам управления Ajax.

CVE-2010-3332

Есть несколько маршрутов:

1. Определите, действительно ли вы раскрываете конфиденциальные коды ошибок IIS во время расшифровки, и разрешите их в коде. Это старая CVE, поэтому современный ASP.NET смягчит то, что может. Остальное зависит от разработчика.
2. Убедитесь, что ваша система обновлена ​​до последних исправлений (обновлений ASP, обновлений Windows, любых обновлений). Уязвимость Microsoft была исправлена ​​в патче MS10-070.
3. Если это действительно ложное срабатывание, вам нужно научить WAF воспринимать этот код и поведение приложения как приемлемые. Это последнее средство, если вы исчерпали код и исправление и определили, что это не CVE, вызывающий блокировку подписи.

Брандмауэры веб-приложений сильно отличаются от традиционных брандмауэров (или NG) тем, что для правильной работы они должны быть адаптированы к конкретному приложению. Это боль, но это необходимо для правильной защиты отдельного приложения.

Ваш WAF должен иметь возможность работать в прозрачном режиме обучения, чтобы понять допустимое поведение и создать политику для поведения приложения по умолчанию. После завершения процесса обучения вы можете включить принудительное поведение и предупреждать об ошибках. Потом исправить ошибки в WAF или в приложении. Как только это будет завершено, вы можете применить и заблокировать ошибку. Как это достигается, зависит от поставщика WAF.

Поскольку это блок подписи CVE, вам может потребоваться более глубокое изучение того, как .Net обрабатывает URL-адрес.