Comprobación de coherencia de campos de formulario

La comprobación Consistencia de campos de formulario examina los formularios web devueltos por los usuarios del sitio web y comprueba que los formularios web no fueron modificados de forma incorrecta por el cliente. Esta comprobación solo se aplica a las solicitudes HTML que contienen un formulario web, con o sin datos. No se aplica a las solicitudes XML.

La comprobación de coherencia de campos de formulario impide que los clientes realicen cambios no autorizados en la estructura de los formularios web del sitio web cuando rellenen y envíen un formulario. También garantiza que los datos que envía un usuario cumplan las restricciones HTML de longitud y tipo, y que los datos de los campos ocultos no se modifiquen. Esto evita que un atacante altere un formulario web y utilice el formulario modificado para obtener acceso no autorizado al sitio web, redirija la salida de un formulario de contacto que utiliza un script inseguro y, por lo tanto, envíe correo electrónico masivo no solicitado, o aproveche una vulnerabilidad en el software del servidor web para obtener el control de la o el sistema operativo subyacente. Los formularios web son un enlace débil en muchos sitios web y atraen una amplia gama de ataques.

La comprobación Consistencia de campos de formulario comprueba todos los elementos siguientes:

  • Si se envía un campo al usuario, la comprobación garantiza que el usuario lo devuelve.
  • La comprobación aplica longitudes y tipos de campo HTML.

    Nota:

    La comprobación Consistencia de campos de formulario aplica restricciones HTML sobre el tipo y la longitud de datos, pero no valida los datos en formularios web. Puede utilizar la comprobación Formatos de campo para configurar reglas que validen los datos devueltos en campos de formulario específicos de los formularios web.

  • Si el servidor web no envía un campo al usuario, la comprobación no permite al usuario agregar ese campo y devolver datos en él.
  • Si un campo es de solo lectura u oculto, la comprobación comprueba que los datos no han cambiado.
  • Si un campo es un campo de cuadro de lista o de botón de opción, la comprobación comprueba que los datos de la respuesta corresponden a uno de los valores de ese campo.

Si un formulario web devuelto por un usuario infringe una o varias de las comprobaciones de coherencia de campos de formulario y no ha configurado el Web App Firewall para permitir que dicho formulario web infrinja las comprobaciones de coherencia de campos de formulario, la solicitud se bloquea.

Si utiliza el asistente o la GUI, en el cuadro de diálogo Modificar comprobación de coherencia de campos de formulario, en la ficha General puede habilitar o inhabilitar las acciones Bloquear, Registro, Aprendizaje y Estadísticas.

También puede configurar la coherencia de campos sin sesión en la ficha General. Si la coherencia de campos sin sesión está habilitada, Web App Firewall comprueba solo la estructura del formulario web, prescindiendo de las partes de la comprobación Consistencia de campos de formulario que dependen del mantenimiento de la información de la sesión. Esto puede acelerar la comprobación de coherencia de campos de formulario con poca penalización de seguridad para los sitios web que utilizan muchos formularios. Para utilizar la coherencia de campo sin sesión en todos los formularios web, seleccione Activado. Para usarlo solo para formularios enviados con el método HTTP POST, seleccione postOnly

Si utiliza la interfaz de línea de comandos, puede escribir el siguiente comando para configurar la comprobación de coherencia de campos de formulario:

  • set appfw profile <name> -fieldConsistencyAction [**block**] [**learn**] [**log**] [**stats**] [**none**]

Para especificar relajantes para la comprobación Consistencia de campos de formulario, debe utilizar la GUI. En la ficha Comprobaciones del cuadro de diálogo Modificar comprobación de coherencia de campos de formulario, haga clic en Agregar para abrir el cuadro de diálogo Agregar relajación de comprobación de coherencia de campos de formulario o seleccione una relajación existente y haga clic en Abrir para abrir el cuadro de diálogo Modificar relajación de comprobación de coherencia de campos de formulario. Cualquiera de los dos cuadros de diálogo proporciona las mismas opciones para configurar una relajación, como se describe en Configuración manual mediante el uso de la GUI.

A continuación se presentan ejemplos de relajación de comprobación de coherencia de campos de formulario:

Nombres de campos de formulario:

  • Elija campos de formulario con el nombre UserType:

     ^UserType$
    
  • Elija campos de formulario con nombres que comiencen por UserType_ y que estén seguidos de una cadena que comience por una letra o un número y se componga de una a veintiún letras, números o el símbolo apóstrofo o guión:

     ^UserType_[0-9A-Za-z][0-9A-Za-z'-]{0,20}$
    
  • Elija campos de formulario con nombres que comiencen por Turkish-userType_ y sean los mismos que la expresión anterior, excepto que pueden contener caracteres especiales turcos en:

     ^T\xC3\xBCrk\xC3\xA7e-UserType_([0-9A-Za-z]|\x[0-9A-Fa-f][0-9A-Fa-f])+$
    

    Nota:

    Consulte Formato de codificación de caracteres PCRE para obtener una descripción completa de los caracteres especiales admitidos y cómo codificarlos correctamente.

  • Elija nombres de campo de formulario que comiencen por una letra o un número, que consistan en una combinación de letras y/o números solamente y que contengan la cadena Num en cualquier lugar de la cadena:

     ^[0-9A-Za-z]\*Num[0-9A-Za-z]\*$
    

Direcciones URL de acción de campo de formulario:

  • Elija direcciones URL que empiecen por http://www.example.com/search.pl? y contengan cualquier cadena después de la consulta, excepto una nueva consulta:

     ^http://www[.]example[.]com/search[.]pl?[^?]*$
    
  • Elija direcciones URL que comiencen por http://www.example-español.com y tengan rutas y nombres de archivo que constan de letras mayúsculas y minúsculas, números, caracteres especiales no ASCII y símbolos seleccionados en la ruta. El carácter ñ y cualquier otro carácter especial se representan como cadenas UTF-8 codificadas que contienen el código hexadecimal asignado a cada carácter especial en el juego de caracteres UTF-8:

     ^http://www[.]example-espa\xC3\xB1ol[.]com/(([0-9A-Za-z]|\x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|\x[0-9A-Fa-f][0-9A-Fa-f])\*/)\*([0-9A-Za-z]|\x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|\x[0-9A-Fa-f][0-9A-Fa-f])*[.](asp|htp|php|s?html?)$
    
  • Elija todas las URL que contengan la cadena /search.cgi? :

     ^[^?<>]\*/search[.]cgi?[^?<>]\*$
    

Precaución:

Las expresiones regulares son potentes. Especialmente si no está completamente familiarizado con las expresiones regulares con formato PCRE-format, compruebe las expresiones regulares que escriba. Asegúrese de que definen exactamente la URL que quiere agregar como excepción, y nada más. El uso descuidado de comodines, y especialmente de la combinación de metacarácter/comodín de punto (.*), puede tener resultados que no quiera o espere, como bloquear el acceso al contenido web que no pretendía bloquear o permitir un ataque que la comprobación de coherencia de cookies habría bloqueado de otro modo.

Comprobación de coherencia de campos de formulario