-
-
JSON SQL 保護
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
JSON SQL インジェクション保護
受信 JSON リクエストでは、部分的な SQL クエリ文字列またはコード内の不正なコマンドの形式で SQL インジェクションが行われることがあります。これにより、ウェブサーバーの JSON データベースからデータが盗まれることになります。このような要求を受信すると、アプライアンスはお客様のデータ保護要求をブロックします。
クライアントがJSON SQL要求をNetScalerアプライアンスに送信し、JSONパーサーが要求ペイロードを解析し、SQLインジェクションが観察された場合、アプライアンスはJSON SQLコンテンツに制約を適用するシナリオを考えてみましょう。この制約により、JSON SQL リクエストにサイズ制限が適用されます。その結果、JSON SQL インジェクションが検出されると、アプライアンスはアクションを適用し、JSON SQL エラーページで応答します。
JSON SQL インジェクション保護
JSON SQL 保護を設定するには、次の手順を完了する必要があります。
- アプリケーションファイアウォールプロファイルを JSON として追加します。
- JSON SQL インジェクション設定のアプリケーションファイアウォールプロファイルの設定
- アプリケーションファイアウォールプロファイルをバインドして JSON SQL アクションを設定します。
JSON タイプのアプリケーションファイアウォールプロファイルの追加
最初に、アプリケーションファイアウォールが JSON Web コンテンツを JSON SQL インジェクション攻撃から保護する方法を指定するプロファイルを作成する必要があります。 コマンドプロンプトで入力します:
add appfw profile <name> -type (HTML | XML | JSON)
注記:
プロファイルタイプを JSON に設定すると、HTML や XML などの他のチェックは適用されません。
例
add appfw profile profile1 –type JSON
JSON SQL インジェクションの設定
JSON SQL インジェクション攻撃からアプリケーションを保護するには、1 つ以上の JSON SQL インジェクションアクションを設定する必要があります。 コマンドプロンプトで入力します:
set appfw profile <name> - JSONSQLInjectionAction [block] [log] [stats] [none]
SQL インジェクションアクションは次のとおりです。 ブロック-このセキュリティー検査に違反する接続をブロックします。 Log - このセキュリティチェックの違反を記録します。 Stats-このセキュリティー検査の統計を生成します。 [なし]-このセキュリティー検査に対するすべてのアクションを無効にします。
JSON SQL インジェクションタイプ
アプリケーションファイアウォールプロファイルで JSON SQL Injection タイプを構成するには、コマンドプロンプトで次のように入力します。
set appfw profile <name> - JSONSQLInjectionType <JSONSQLInjectionType>
例
set appfw profile profile1 -JSONSQLInjectionType SQLKeyword
利用可能な SQL インジェクションタイプは、 利用可能な SQL インジェクションタイプです。 SQLSplChar. SQL 特殊文字 SQLKeywordをチェックします。SQL キーワードをチェックします。 SQLSplCharANDKeyword. ブロックが見つかった場合は、ブロックとブロックの両方をチェックします。 SQLSplCharORKeyword. . SQL 特殊文字または spl キーワードが見つかった場合にブロックします。 指定可能な値は sqlSPLChar、sqlKeyword、sqlSPLCharor キーワード、sqlSPLCharand キーワードです。
注:1 つ以上のアクションを有効にするには、「set appfw プロファイル-jsonSQLInjectionAction」に続けて有効にするアクションを入力します。
例
set appfw profile profile1 -JSONSQLInjectionAction block log stat
次に、ペイロード、対応するログメッセージ、および統計カウンタの例を示します。
Payload:
=======
{
"test": "data",
"username": "waf",
"password": "select * from t1;",
"details": {
"surname": "test",
"age": "23"
}
}
Log Message:
===========
08/19/2019:08:49:46 GMT pegasus121 Informational 0-PPE-0 : default APPFW APPFW_JSON_SQL 6656 0 : 10.217.32.165 18402-PPE0 - profjson http://10.217.32.147/test.html SQL Keyword check failed for object value(with violation="select(;)") starting at offset(52) <blocked>
Counters:
========
1 441083 1 as_viol_json_sql
3 0 1 as_log_json_sql
5 0 1 as_viol_json_sql_profile appfw__(profjson)
7 0 1 as_log_json_sql_profile appfw__(profjson)
Citrix GUI を使用して JSON SQL インジェクション保護を構成する
JSON SQL インジェクション保護設定を設定するには、次の手順に従います。
- ナビゲーションペインで、[ セキュリティ ] > [ プロファイル] に移動します。
- 「 プロファイル 」ページで、「 追加」をクリックします。
- Citrix Web App Firewallプロファイルページで 、「 詳細設定 」の「 セキュリティチェック」をクリックします。
- [ セキュリティチェック ] セクションで、[ JSON SQL インジェクション設定 ] に移動します。
- チェックボックスの近くにある実行可能アイコンをクリックします。
- [アクション設定]をクリックして、[JSON SQL インジェクション設定] ページにアクセスします。
- JSON SQL インジェクションアクションを選択します 。
- [OK] をクリックします。
- [Citrix Web App Firewall プロファイル ]ページで、[ 詳細設定 ]の[ 緩和ルール]をクリックします。
- [ 緩和ルール ] セクションで、[ JSON SQL インジェクション設定 ] を選択し、[編集] をクリックします。
- [JSON SQL インジェクション緩和ルール] ページで、リクエストの送信先となる URL を入力します。この URL に送信されたすべてのリクエストはブロックされません。
-
[Create] をクリックします。
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.