-
-
JSON SQL 保護
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
JSON SQL インジェクション保護チェック
受信 JSON リクエストは、部分的な SQL クエリ文字列またはコード内の不正なコマンドの形で SQL インジェクションを持つことができます。これは、あなたのウェブサーバーのJSONデータベースからデータを盗むにつながります。このような要求を受信すると、アプライアンスはお客様のデータを保護するための要求をブロックします。
クライアントがJSON SQLリクエストをCitrix ADCアプライアンスに送信し、JSONパーサーがリクエストペイロードを解析し、SQLインジェクションが観察された場合、アプライアンスはJSON SQLコンテンツに制約を適用します。この制約は、JSON SQL リクエストのサイズ制限を強制します。その結果、JSON SQL インジェクションが検出されると、アプライアンスはアクションを適用し、JSON SQL エラーページに応答します。
JSON SQL インジェクション保護の設定
JSON SQL 保護を構成するには、次の手順を完了する必要があります。
- アプリケーションのファイアウォールプロファイルを JSON として追加します。
- JSON SQL インジェクション設定のアプリケーションファイアウォールプロファイルの設定
- アプリケーションのファイアウォールプロファイルをバインドして JSON SQL アクションを設定します。
タイプ JSON のアプリケーションファイアウォールプロファイルを追加します
まず、アプリケーションファイアウォールで JSON Web コンテンツを JSON SQL Injection 攻撃から保護する方法を指定するプロファイルを作成する必要があります。 コマンドプロンプトで入力します。
add appfw profile <name> -type (HTML | XML | JSON)
注:
プロファイルタイプを JSON に設定すると、HTML や XML などの他のチェックは適用されません。
例
add appfw profile profile1 –type JSON
JSON SQL インジェクションアクションの設定
JSON SQL インジェクション攻撃からアプリケーションを保護するには、1 つ以上の JSON SQL インジェクションアクションを設定する必要があります。 コマンドプロンプトで入力します。
set appfw profile <name> - JSONSQLInjectionAction [block] [log] [stats] [none]
SQL インジェクションのアクションは次のとおりです。 Block-このセキュリティー検査に違反する接続をブロックします。 Log - このセキュリティチェックの違反を記録します。 Stats -このセキュリティー検査の統計を生成します。 None -このセキュリティー検査のすべてのアクションを無効にします。
JSON SQL インジェクションタイプの設定
アプリケーションファイアウォールプロファイルで JSON SQL Injection タイプを設定するには、コマンドプロンプトで次のように入力します。
set appfw profile <name> - JSONSQLInjectionType <JSONSQLInjectionType>
例
set appfw profile profile1 -JSONSQLInjectionType SQLKeyword
使用可能なSQLインジェクションタイプは次のとおりです。 使用可能なSQLインジェクションタイプ。 sqlSplchar。SQL特殊文字、 SQLキーワードをチェックします。SQL キーワードをチェックします。 SQLSplCharandキーワードです。見つかった場合は、ブロックとブロックの両方をチェックします。 SQLSplCharOR キーワードです。SQL特殊文字またはsplキーワードが見つかった場合はブロックします。 指定可能な値:SQL文字、SQLキーワード、SQLスプライン文字またはキーワード、SQLSplcharandキーワードです。
注: 1 つ以上のアクションを有効にするには、「appfw プロファイルの設定-JSONSQLInjectionAction」と入力し、次に有効にするアクションを入力します。
例
set appfw profile profile1 -JSONSQLInjectionAction block log stat
次に、ペイロード、対応するログメッセージ、および統計カウンタの例を示します。
Payload:
=======
{
"test": "data",
"username": "waf",
"password": "select * from t1;",
"details": {
"surname": "test",
"age": "23"
}
}
Log Message:
===========
08/19/2019:08:49:46 GMT pegasus121 Informational 0-PPE-0 : default APPFW APPFW_JSON_SQL 6656 0 : 10.217.32.165 18402-PPE0 - profjson http://10.217.32.147/test.html SQL Keyword check failed for object value(with violation="select(;)") starting at offset(52) <blocked>
Counters:
========
1 441083 1 as_viol_json_sql
3 0 1 as_log_json_sql
5 0 1 as_viol_json_sql_profile appfw__(profjson)
7 0 1 as_log_json_sql_profile appfw__(profjson)
<!--NeedCopy-->
Citrix GUI を使用して JSON SQL インジェクション保護を構成する
JSON SQL インジェクション保護設定を設定するには、以下の手順に従います。
- ナビゲーションペインで、[セキュリティ] > [プロファイル] に移動します。
- [ プロファイル ] ページで、[ 追加] をクリックします。
- Citrix Web App Firewallプロファイルページで 、[ 詳細設定 ]の[ セキュリティチェック]をクリックします。
- [セキュリティーチェック] セクションで、[JSON SQL インジェクション設定] に移動します。
-
チェックボックスの近くにある実行可能アイコンをクリックします。
- [アクション設定]をクリックして、[JSON SQL インジェクション設定] ページにアクセスします。
- JSON SQL インジェクション アクションを選択します。
-
[OK] をクリックします。
- [Citrix Web App Firewall プロファイル]ページで、[詳細設定]の下の[リラクゼーションルール]をクリックします。
-
[リラクゼーションルール] セクションで、[JSON SQL インジェクション 設定] を選択し、[編集] をクリックします。
- [JSON SQL インジェクション緩和ルール] ページで、リクエストの送信先の URL を入力します。この URL に送信されたすべてのリクエストはブロックされません。
-
[作成] をクリックします。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.