1. дома
  2. Вопрос и ответ
  3. Как решить следующие вопросы безопасности с Azure Storage

Как решить следующие вопросы безопасности с Azure Storage

2016-10-07 6 views
0

Кто-нибудь есть ключ, как решить следующие вопросы безопасности, которые приходят с сканирования Azure хранения больших двоичных объектов с помощью ZAP:Как решить следующие вопросы безопасности с Azure Storage

  1. Remote OS Command Injection: https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5 ,

    Azure требует параметра 'sp', однако это может быть захвачено вводом команд OS, как показано выше. Есть ли способ решить эту проблему в Лазуре. Я не нашел.

  2. Какой способ настроить следующие с сервером двоичных объектов Azure - X-Frame-Options заголовок не установлен, неполную или Нет Cache-Control и Pragma HTTP заголовка Set, веб-браузер XSS защита не включена

Пожалуйста, помогите мне, так как мой веб-сервис Azure не выполняет вышеуказанные проверки ZAP.

источник

2016-10-07 Vinay Maladkar

+0

Как я знаю, SAS url поддерживает только разрешение: Read (r), Write (w), Delete (d), List (l), Добавить (a), Создать (c), Обновить (u), Обработать (п). Подробнее см. В [этой статье] (https://msdn.microsoft.com/en-us/library/azure/mt584140.aspx). Я не думаю, что другой параметр будет работать. –

ответ

0

Для # 1 невозможно изменить параметры компонентов SAS, поскольку они используются для создания сигнатуры (sig = param), а затем подтверждены в службе. Если они не соответствуют значениям, используемым для генерации оригинальной подписи, запрос отклоняется.

Для # 2 хранилище Azure не позволяет изменять возвращаемые заголовки, но это позволяет настраивать CORS. См. https://msdn.microsoft.com/en-us/library/azure/hh452235.aspx

источник

2016-10-11 00:10:42

0

Для # 1 ваш запрос завершился неудачно с кодом, удостоверяющим подлинность. Это неправда.

источник

2016-10-18 21:18:58

 Смежные вопросы

  • Нет связанных вопросов^_^