Azure App Gateway の Web App Firewall は、SQL インジェクション攻撃からアプリを保護できると聞きました。それは実際にどのように達成されますか?
すべての受信ペイロード (本文と URL パラメーターの両方) を検査しますか? その場合、TLS ターミネーションを Application Gateway レベルで設定する必要があると思います。そうしないと、何も読み取ることができません。ペイロード内の疑わしい文字列 (「;DROP TABLE....」など) を探すだけですか? ペイロードのコンテンツが安全かどうかをどのように判断しますか? つまり、SQL インジェクションのように見えるペイロードを Web アプリに送信している可能性があります。WAF は、どのリクエストが攻撃で、どれがそうでないかをどのように判断するのでしょうか?