Azure应用程序网关上定义的重写规则在跟踪方法上似乎不起作用
我已在Azure应用程序网关上定义了重写规则,该规则正在重写响应头(服务器=未知)。我看到该规则在GET、OPTIONS、DELETE方法(返回HTTP200或405)上正确执行,但是该规则似乎没有在跟踪方法上触发。 我想解决渗透测试的一个发现,该发现指出服务器披露了技术信息,允许攻击者获知安装的反向代理。 下面是HTTP DELETE方法的屏幕截图:Azure应用程序网关上定义的重写规则在跟踪方法上似乎不起作用,azure,azure-application-gateway,Azure,Azure Application Gateway,我已在Azure应用程序网关上定义了重写规则,该规则正在重写响应头(服务器=未知)。我看到该规则在GET、OPTIONS、DELETE方法(返回HTTP200或405)上正确执行,但是该规则似乎没有在跟踪方法上触发。 我想解决渗透测试的一个发现,该发现指出服务器披露了技术信息,允许攻击者获知安装的反向代理。 下面是HTTP DELETE方法的屏幕截图: HTTP/1.1 405 Date: Mon, 02 Nov 2020 14:47:18 GMT Content-Type: text/pla
HTTP/1.1 405
Date: Mon, 02 Nov 2020 14:47:18 GMT
Content-Type: text/plain
Content-Length: 0
Connection: keep-alive
X-FRAME-OPTIONS: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Cache-Control: no-cache,no-store,must-revalidate
Pragma: no-cache
Allow: GET
Server: Unknown
在使用跟踪的同一调用下面:
HTTP/1.1 405 Not Allowed
Server: Microsoft-Azure-Application-Gateway/v2
Date: Mon, 02 Nov 2020 14:47:50 GMT
Content-Type: text/html
Content-Length: 183
Connection: close
对我来说,跟踪包含的头没有删除包含的头那么多,这一事实证明调用不会到达web服务器(这对我来说很好),但我希望应用程序网关触发与任何其他方法相同的重写规则
我还尝试删除标题,而不是将其设置为“未知”,但效果相同(除跟踪外,所有方法都会删除标题)。跟踪方法尚未添加到列表中。我们的路线图中有这一点,但没有预计到达时间。请关注进一步更新