-
Schutzmaßnahmen auf höchster Ebene
-
Grammatikbasierter Schutz vor Befehlseinschleusung für HTML-Payload
-
Regeln zur Entspannung und Ablehnung von HTML-SQL-Einschleusungsangriffen
-
Unterstützung benutzerdefinierter Keywords für HTML-Nutzlast
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Grammatikbasierter Schutz vor Befehlseinschleusung für HTML-Payload
NetScaler Web App Firewall verwendet einen Pattern-Match-Ansatz zur Erkennung von Befehlseinschleusungsangriffen in HTML-Payloads Der Ansatz verwendet eine Reihe vordefinierter Schlüsselwörter und (oder ) Sonderzeichen, um einen Angriff zu erkennen und ihn als Verstoß zu kennzeichnen. Obwohl dieser Ansatz effektiv ist, kann er zu vielen Fehlalarmen führen, die dazu führen, dass eine oder mehrere Relaxationsregeln hinzugefügt werden. Insbesondere, wenn ein häufig verwendetes Wort wie “Exit” in einer HTTP-Anfrage verwendet wird. Wir können Fehlalarme reduzieren, indem wir den grammatikbasierten Schutz vor Befehlseinschleusung für die HTML-Payload implementieren.
Beim Pattern-Match-Ansatz wird ein Befehlseinschleusungsangriff identifiziert, wenn ein vordefiniertes Schlüsselwort und (oder ) ein Sonderzeichen in einer HTTP-Anforderung vorhanden ist. In diesem Fall muss die Anweisung keine gültige Befehlseinschleusungsanweisung sein. Beim grammatikbasierten Ansatz wird ein Befehlseinschleusungsangriff jedoch nur erkannt, wenn ein Schlüsselwort oder ein Sonderzeichen in einer Befehlseinschleusungsanweisung vorhanden ist. Daher werden falsch positive Szenarien reduziert.
Anwendungsszenario für grammatikbasierten Schutz vor Befehlseinschleusung
Betrachten Sie eine Aussage: “Rush towards the exit!” in einer HTTP-Anfrage. Obwohl die Anweisung keine gültige Befehlseinschleusungsanweisung ist, erkennt der Pattern-Match-Ansatz die Anforderung aufgrund des Schlüsselworts “exit” als Befehlseinschleusungsangriff. Beim grammatikbasierten Ansatz des Befehlseinschleusungsschutz wird die Anweisung jedoch nicht als Angriff erkannt, da die Schlüsselwörter in einer gültigen Befehlseinschleusunganweisung nicht vorhanden sind.
Konfigurieren der grammatikbasierten Schutzparameter gegen Befehlseinschleusungsangriffe über die Befehlszeilenschnittstelle
Um die grammatikbasierte Erkennung von Befehlseinschleusung zu implementieren, müssen Sie den Parameter “CMDInjectionGrammar” im Web App Firewall-Profil konfigurieren. In der Standardeinstellung ist der Parameter deaktiviert. Alle vorhandenen Befehlseinschleusungaktionen außer Lernen werden unterstützt. Jedes nach einem Upgrade neu erstellte Profil unterstützt die Befehlseinschleusungsgrammatik. Das neue Profil hat weiterhin den Standardtyp “Sonderzeichen oder Schlüsselwort”, und die Befehlseinschleusungsgrammatik muss explizit aktiviert sein.
Geben Sie in der Befehlszeile Folgendes ein:
add appfw profile <profile-name> –CMDInjectionAction <action-name> -CMDInjectionGrammar ON/OFF
<!--NeedCopy-->
Beispiel:
add appfw profile profile1 –CMDInjectionAction Block –CMDInjectionGrammar ON
<!--NeedCopy-->
Konfigurieren des Musterübereinstimmungsschutz und des grammatikbasierten Schutz vor Befehlseinschleusung über die CLI
Wenn Sie sowohl grammatikbasierte als auch Musterübereinstimmungsansätze aktiviert haben, führt die Appliance zunächst eine grammatikbasierte Erkennung durch. Wenn eine Befehlseinschleusung erkannt wird, bei der der Aktionstyp auf “Block” gesetzt ist, wird die Anforderung blockiert (ohne Überprüfung der Erkennung über Pattern-Match).
Geben Sie in der Befehlszeile Folgendes ein:
add appfw profile <profile-name> –CMDInjectionAction <action-name> -CMDInjectionGrammar ON –CMDInjectionType <Any action other than ‘None’: CMDSplCharANDKeyword/ CMDSplCharORKeyword/ CMDSplChar/ CMDKeyword>
<!--NeedCopy-->
Beispiel:
add appfw profile p1 –CMDInjectionAction block – CMDInjectionGrammar ON –CMDInjectionType CMDSplChar
<!--NeedCopy-->
Konfigurieren der Befehlseinschleusungsprüfung nur mit grammatikbasiertem Schutz über die CLI
Geben Sie in der Befehlszeile Folgendes ein:
add appfw profile <profile-name> –CMDInjectionAction <action-name> -CMDInjectionGrammar ON –CMDInjectionType None
<!--NeedCopy-->
Beispiel:
add appfw profile p1 –CMDInjectionAction block – CMDInjectionGrammar ON –CMDInjectionType None
<!--NeedCopy-->
Binden Sie Relaxationsregeln für den grammatikbasierten Schutz vor Befehlseinschleusung über die CLI
Wenn Ihre Anwendung erfordert, dass Sie die Befehlseinschleusungsprüfung für ein bestimmtes “ELEMENT” oder “ATTRIBUTE” in der HTML-Payload Bypass müssen, müssen Sie eine Relaxationsregel konfigurieren.
Hinweis:
Relaxationsregeln mit valueType “keyword” werden nur ausgewertet, wenn die Appliance die Erkennung über Befehlseinschleusungsgrammatik durchführt.
Die Relaxationsregeln für die Befehlseinschleusungsprüfung haben folgende Syntax. Geben Sie in der Befehlszeile Folgendes ein:
bind appfw profile <name> -CMDInjection <String> [isRegex(REGEX| NOTREGE)] <formActionURL> [-location <location>] [-valueType (Keywor|SpecialString|Wildchar) [<valueExpression>][-isValueRegex (REGEX | NOTREGEX) ]]
<!--NeedCopy-->
Beispiel:
bind appfw profile p1 -cmdinjection abc http://10.10.10.10/
bind appfw profile p1 –cmdinjection 'abc[0-9]+' http://10.10.10.10/ -isregex regEX
bind appfw profile p1 –cmdinjection 'name' http://10.10.10.10/ -valueType Keyword 'exi[a-z]+' -isvalueRegex regEX
<!--NeedCopy-->
Konfigurieren des grammatikbasierten Schutz vor Befehlseinschleusung über die GUI
Führen Sie die folgenden Schritte aus, um die grammatikbasierte Erkennung von HTML-Befehlseinschleusung zu konfigurieren.
-
Navigieren Sie zu Sicherheit > NetScaler Web App Firewall-Profil > Profile.
-
Wählen Sie ein Profil aus und klicken Sie auf Bearbeiten.
-
Gehen Sie zum Abschnitt Erweiterte Einstellungen und klicken Sie auf Sicherheitsüberprüfungen.
-
Aktivieren Sie das Kontrollkästchen HTML Command Injection und klicken Sie auf Aktionseinstellungen.
-
Aktivieren Sie das Kontrollkästchen Mit CMD-Grammatik überprüfen.
-
Wählen Sie unter Prüfanforderung enthalten die Option Keine
-
Klicken Sie auf OK.
Teilen
Teilen
In diesem Artikel
- Anwendungsszenario für grammatikbasierten Schutz vor Befehlseinschleusung
- Konfigurieren der grammatikbasierten Schutzparameter gegen Befehlseinschleusungsangriffe über die Befehlszeilenschnittstelle
- Konfigurieren des Musterübereinstimmungsschutz und des grammatikbasierten Schutz vor Befehlseinschleusung über die CLI
- Konfigurieren der Befehlseinschleusungsprüfung nur mit grammatikbasiertem Schutz über die CLI
- Binden Sie Relaxationsregeln für den grammatikbasierten Schutz vor Befehlseinschleusung über die CLI
- Konfigurieren des grammatikbasierten Schutz vor Befehlseinschleusung über die GUI
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.