我在我的网站上执行了 OWASP ZAP,它除其他事项外还引发了代理披露警报。 代理披露警报https://www.zaproxy.org/docs/alerts/40025/ OWASP 描述 检测到或提取了 1 个代理服务器的指纹。此信息可帮助潜在攻击者确定 针对应用程序的攻击目标列表。 为应用程序提供服务的代理服务器上存在潜在漏洞。 是否存在任何基于代理的组件,这些组件可能会导致针对应用程序的攻击被检测、阻止或缓解。 建议的解决方案 禁用代理服务器以及原始 Web/应用服务器上的“TRACE”方法。如果其他目的(如“CORS”(跨源资源共享)...
我即将在启用 WHM/cPanel 的 CentOS 服务器(带有 apache)上使用带有 mod_security 的 OWASP CRS 规则。但我担心 Googlebot 可能会意外地被一条或另一条规则阻止。启用 OWASP CRS 后,如果我单独添加以下自定义规则,我的规则是否会阻止 Googlebot 被任何 CRS 规则阻止。以下规则是否会覆盖可能怀疑 Googlebot 的任何 CRS 规则。 建议的自定义规则:SecRule REMOTE_HOST googlebot.com$ allow,pass 更新:我的网站有数千个 URL,而谷歌的...
我正在配置新Ngnix v1.18.0服务器,并且ModSecurity-nginx v1.0.1.已将OWASP CRS 3.3.0规则添加到配置中。不幸的是,我无法清楚地判断规则是否有效。在阅读有关它的博客和文章时,我看到了 3 种确定它的可能性: curl -H "User-Agent: Nobody" http://5x.xx.xx.xxx:8085,, 。curl http://5x.xx.xx.xxx:8085/?exec=/bin/bash curl -I 'http://5x.xx.xx.xxx:8085/?param="><...