Informations supplémentaires sur les stratégies de Web App Firewall

Vous trouverez ci-dessous des informations supplémentaires sur certains aspects des stratégies de Web App Firewall que les administrateurs système qui gèrent le pare-feu Web App peuvent avoir besoin de connaître.

Comportement correct mais inattendu

La sécurité des applications Web et les sites Web modernes sont complexes. Dans un certain nombre de scénarios, une stratégie Citrix ADC peut entraîner le comportement du Web App Firewall dans certaines situations différent de celui d’un utilisateur familier avec les stratégies normalement prévu. Voici un certain nombre de cas où le Web App Firewall peut se comporter de manière inattendue.

  • Demande avec un en-tête HTTP Host manquant et une URL absolue. Lorsqu’un utilisateur envoie une demande, dans la majorité des cas, l’URL de la demande est relative. Autrement dit, il prend comme point de départ l’URL du référent, l’URL où se trouve le navigateur de l’utilisateur lorsqu’il envoie la requête. Si une requête est envoyée sans en-tête Host et avec une URL relative, la requête est normalement bloquée à la fois parce qu’elle enfreint la spécification HTTP et parce qu’une requête qui ne parvient pas à spécifier l’hôte pourrait, dans certaines circonstances, constituer une attaque. Toutefois, si une requête est envoyée avec une URL absolue, même si l’en-tête Host est manquant, la demande contourne le Web App Firewall et est transmise au serveur Web. Bien qu’une telle requête viole la spécification HTTP, elle ne constitue pas une menace possible car une URL absolue contient l’hôte.

Informations supplémentaires sur les stratégies de Web App Firewall