ADC

Vérification de la protection par script intersite JSON

Si une charge utile JSON entrante contient des données de script intersite malveillantes, WAF bloque la demande. Les procédures suivantes expliquent comment configurer cela via les interfaces CLI et GUI.

Configurer la protection par script intersite JSON

Pour configurer la protection par script intersite JSON, vous devez effectuer les étapes suivantes :

  1. Ajoutez un profil de pare-feu d’application au format JSON.
  2. Configurer l’action de script intersite JSON pour bloquer la charge utile malveillante de script intersite

Ajouter un profil de pare-feu d’application de type JSON

Vous devez d’abord créer un profil qui spécifie comment le pare-feu d’application doit protéger votre contenu Web JSON contre les attaques de script intersite JSON.

À l’invite de commandes, tapez :

add appfw profile <name> -type (HTML | XML | JSON)

Remarque:

Lorsque vous définissez le type de profil sur JSON, les autres vérifications telles que HTML ou XML ne s’appliquent pas.

Exemple

add appfw profile profile1 –type JSON

Exemple de sortie pour violation de script intersite JSON

JSONcross-site scriptingAction: block log stats
Payload: {"username":"<a href="jAvAsCrIpT:alert(1)">X</a>","password":"xyz"}

Log message: Aug 19 06:57:33 <local0.info> 10.106.102.21 08/19/2019:06:57:33 GMT  0-PPE-0 : default APPFW APPFW_JSON_cross-site scripting 58 0 :  10.102.1.98 12-PPE0 - profjson http://10.106.102.24/ Cross-site script check failed for object value(with violation="Bad URL: jAvAsCrIpT:alert(1)") starting at offset(12). <blocked>

Counters
   1  357000                  1 as_viol_json_xss
   3  0                       1 as_log_json_xss
   5  0                       1 as_viol_json_xss_profile appfw__(profjson)
   7  0                       1 as_log_json_xss_profile appfw__(profjson)

<!--NeedCopy-->

Action Configurer les scripts intersites JSON

Vous devez configurer une ou plusieurs actions de script intersite JSON pour protéger votre application contre les attaques de script intersite JSON. À l’invite de commandes, tapez :

set appfw profile <name> - JSONcross-site scriptingAction [block] [log] [stats] [none]

Exemple

set appfw profile profile1 –JSONcross-site scriptingAction block

Les actions de script intersite disponibles sont les suivantes : Bloquer - Bloquer les connexions qui ne respectent pas ce contrôle de sécurité. Journal - Consigner les violations de cette vérification de sécurité. Stats - Générez des statistiques pour cette vérification de sécurité. Aucun : désactivez toutes les actions pour ce contrôle de sécurité.

Remarque Pour activer une ou plusieurs actions, tapez « set appfw profile - JSONCross-site ScriptingAction » suivi des actions à activer.

Exemple

set appfw profile profile1 -JSONSQLInjectionAction block log stat

Configurer la protection par script intersite JSON (script intersite) à l’aide de l’interface graphique Citrix

Suivez la procédure ci-dessous pour définir les paramètres de protection par script intersite (script intersite).

  1. Dans le volet de navigation, accédez à Sécurité > Profils.
  2. Dans la page Profils, cliquez sur Ajouter.
  3. Sur la page Profil de Citrix Web App Firewall, cliquez sur Contrôles de sécurité sous Paramètres avancés.
  4. Dans la section Vérifications de sécurité, accédez aux paramètres de script intersite JSON (script intersite).
  5. Cliquez sur l’icône exécutable à côté de la case à cocher.
  6. Cliquez sur Paramètres d’action pour accéder à la page Paramètres de script intersite JSON.
  7. Sélectionnez les actions de script intersite JSON.
  8. Cliquez sur OK.
  9. Dans la page Profil de Citrix Web App Firewall, cliquez sur Règles de relaxation sous Paramètres avancés.
  10. Dans la section Règles de relaxation, sélectionnez Paramètres de script intersite JSON et cliquez sur Modifier.
  11. Dans la page Règle de relaxation de script intersite JSON, cliquez sur Ajouter pour ajouter une règle de relaxation de script intersite JSON.
  12. Entrez l’URL à laquelle la demande doit être envoyée. Toutes les demandes envoyées à cette URL ne seront pas bloquées.
  13. Cliquez sur Créer.
Vérification de la protection par script intersite JSON