Azure WAF ajoute serveur indésirable http tête

Question

Le WAF semble ajouter un en-tête HTTP à chaque demande avec la valeur suivante:

server:Microsoft-IIS/10.0

Ceci est un gros problème pour nous car il nous fait échouer les tests de pénétration effectuée par des tiers qui souhaitent utiliser notre service. Auparavant, nous utilisions le module de réécriture d'url pour supprimer l'en-tête du serveur, mais en utilisant le WAF, il l'a rajouté.

Sans entrer dans les discussions pour savoir s'il s'agit d'un trou de sécurité (je ne le pense pas), sans nous étant en mesure de contrôler la réponse au client, nous ne pouvons pas passer ce test de pénétration. Y at-il une option ou devons-nous abandonner Azure WAF?

Answer 1

Il s'agit d'un problème connu avec la passerelle d'application et, par conséquent, également le WAF, on m'a dit que ce problème est traité dans une prochaine version.

https://feedback.azure.com/forums/217313-networking/suggestions/16487725-remove-server-framework-headers-from-application-g