-
-
Vérifications avancées de la protection des formulaires
-
Vérification du marquage des formulaires CSRF
-
Gestion des assouplissements de vérification du marquage des formulaires CSRF
-
Vérifications de protection XML
-
Articles sur les alertes de signatures
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Vérification du balisage des formulaires CSRF
La vérification de balisage de formulaire CSRF (Falsification de requête inter-site) balise chaque formulaire Web envoyé par un site Web protégé aux utilisateurs avec un FormID unique et imprévisible, puis examine les formulaires Web renvoyés par les utilisateurs pour s’assurer que le formulaire fourni est correct. Cette vérification protège contre les attaques par falsification de requêtes intersites. Cette vérification s’applique uniquement aux requêtes HTML qui contiennent un formulaire Web, avec ou sans données. Elle ne s’applique pas aux requêtes XML.
Le contrôle du balisage des formulaires CSRF empêche les attaquants d’utiliser leurs propres formulaires Web pour envoyer un volume élevé de réponses contenant des données à vos sites Web protégés. Cette vérification nécessite relativement peu de capacité de traitement du processeur par rapport à certains autres contrôles de sécurité qui analysent en profondeur les formulaires Web. Il est donc capable de gérer des attaques de volume élevé sans sérieusement dégrader les performances du site Web protégé ou du Web App Firewall lui-même.
Avant d’activer la vérification du balisage des formulaires CSRF, vous devez prendre en compte les points suivants :
- Vous devez activer le balisage des formulaires. La vérification CSRF dépend du balisage des formulaires et ne fonctionne pas sans celui-ci.
- Vous devez désactiver la fonctionnalité de mise en cache intégrée de NetScaler pour toutes les pages Web contenant des formulaires protégés par ce profil. La fonctionnalité de mise en cache intégrée et le balisage des formulaires CSRF ne sont pas compatibles.
- Vous devez envisager d’activer la vérification des référents. La vérification des référents fait partie de la vérification de l’URL de démarrage, mais elle empêche la falsification des requêtes intersites, et non les violations de l’URL de démarrage. La vérification des référents sollicite également moins le processeur que la vérification du balisage des formulaires CSRF. Si une demande enfreint la vérification des référents, elle est immédiatement bloquée, de sorte que le contrôle du balisage des formulaires CSRF n’est pas invoqué.
- La vérification du balisage des formulaires CSRF ne fonctionne pas avec les formulaires Web qui utilisent des domaines différents dans l’URL d’origine du formulaire et l’URL d’action du formulaire. Par exemple, le balisage de formulaire CSRF ne peut pas protéger un formulaire Web dont l’URL d’origine du formulaire
http://www.example.comet l’URL d’action du formulaire esthttp://www.example.org/form.pl, car exemple.com et example.org sont des domaines différents.
Si vous utilisez l’assistant ou l’interface graphique, dans la boîte de dialogue Modifier la vérification du balisage des formulaires CSRF, sous l’onglet Général, vous pouvez activer ou désactiver les actions Block, Log, Learn et Statistics.
Si vous utilisez l’interface de ligne de commande, vous pouvez entrer la commande suivante pour configurer le CSRF Form Tagging Check :
set appfw profile <name> -CSRFtagAction [**block**] [**log**] [**learn**] [**stats**] [**none**]
Pour spécifier des relaxations pour la vérification du balisage des formulaires CSRF, vous devez utiliser l’interface graphique. Dans l’onglet Contrôles de la boîte de dialogue Modifier la vérification du balisage des formulaires CSRF, cliquez sur Ajouter pour ouvrir la boîte de dialogue Ajouter une relaxation du contrôle de balisage des formulaires CSRF, ou sélectionnez une relaxation existante et cliquez sur Ouvrir pour ouvrir la boîte de dialogue Modifier la relaxation du contrôle de balisage des formulaires CSRF. L’une ou l’autre des boîtes de dialogue fournit les mêmes options pour configurer une relaxation.
Une alerte est générée lorsque vous définissez la limite de session de NetScaler Web App Firewall sur une valeur inférieure ou égale à 0, car ce paramètre affecte la fonctionnalité de contrôle de protection avancée qui nécessite le bon fonctionnement de la session Web App Firewall.
Vous trouverez ci-dessous des exemples d’assouplissements liés au contrôle du balisage des formulaires CSRF :
Remarque : Les expressions suivantes sont des expressions URL qui peuvent être utilisées à la fois dans les rôles URL d’origine du formulaire et URL d’action du formulaire.
-
Choisissez les URL commençant par
http://www.example.com/search.pl?et contenant n’importe quelle chaîne après la requête, à l’exception d’une nouvelle requête :^http://www[.]example[.]com/search[.]pl?[^?]*$ <!--NeedCopy--> -
Choisissez des URL qui commencent par
http://www.example-español.comet dont les chemins et les noms de fichiers se composent de lettres majuscules et minuscules, de chiffres, de caractères spéciaux non ASCII et de symboles sélectionnés dans le chemin. Le caractère ñ et tous les autres caractères spéciaux sont représentés sous forme de chaînes UTF-8 codées contenant le code hexadécimal attribué à chaque caractère spécial du jeu de caractères UTF-8 :
^http://www[.]example-espa\xC3\xB1ol[.]com/(([0-9A-Za-z]|\x[0-9A-Fa-f][0-9A-Fa-f])
([0-9A-Za-z_-]|\x[0-9A-Fa-f][0-9A-Fa-f])\*/)\*([0-9A-Za-z]|\x[0-9A-Fa-f][0-9A-Fa-f])([0-9A-Za-z_-]|\x[0-9A-Fa-f][0-9A-Fa-f])*[.](asp|htp|php|s?html?)$
<!--NeedCopy-->
- Choisissez toutes les URL qui contiennent la chaîne /search.cgi?:
^[^?<>]\*/search[.]cgi?[^?<>]\*$
<!--NeedCopy-->
Important
Les expressions régulières sont puissantes. Si vous n’êtes pas parfaitement familiarisé avec les expressions régulières au format PCRE, revérifiez toutes les expressions régulières que vous écrivez. Assurez-vous qu’ils définissent exactement l’URL que vous souhaitez ajouter en tant qu’exception, et rien d’autre. L’utilisation négligente des caractères génériques, et en particulier de la combinaison de métacaractères/caractères génériques (.*), peut avoir des résultats que vous ne voulez pas, comme bloquer l’accès au contenu Web que vous n’aviez pas l’intention de bloquer ou autoriser une attaque que la vérification aurait autrement bloquée.
Conseil
Lorsque l’en-tête de référence enableValidate est activé sous l’action d’URL de démarrage, assurez-vous que l’URL d’en-tête de référence est également ajoutée à StartURL.
Remarque
Lorsque NetScaler atteint le seuil appfw_session_limit et que les contrôles CSRF sont activés, l’application Web se bloque.
Pour empêcher le blocage des applications Web, réduisez le délai d’expiration de la session et augmentez la limite de session à l’aide des commandes suivantes :
Depuis l’interface de ligne de commande : > définir les paramètres appfw —sessiontimeout 300 Depuis le shell : root @ns # nsapimgr_wr.sh -s appfw_session_limit=200000
La journalisation et la génération d’alarmes SNMP lorsque appfw_session_limit est atteinte vous aident à résoudre les problèmes et à déboguer.
Partager
Partager
Dans cet article
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.