Comprobación de inyección XML SQL

La comprobación de inyección XML SQL examina las solicitudes del usuario para posibles ataques de inyección SQL XML. Si encuentra SQL inyectado en cargas XML, bloquea las solicitudes.

Un ataque SQL XML puede inyectar código fuente en una aplicación web de modo que se pueda interpretar y ejecutar como una consulta SQL válida para realizar una operación de base de datos con intención malintencionada. Por ejemplo, los ataques XML SQL se pueden iniciar para obtener acceso no autorizado al contenido de una base de datos o para manipular los datos almacenados. Los ataques XML SQL Injection no solo son comunes, sino que también pueden ser muy dañinos y costosos.

La compartimentación de los privilegios de los usuarios de la base de datos puede ayudar a proteger la base de datos hasta cierto punto. Todos los usuarios de bases de datos deben tener solo los privilegios necesarios para completar las tareas previstas, de modo que no puedan ejecutar consultas SQL para realizar otras tareas. Por ejemplo, no se debe permitir a un usuario de solo lectura escribir o manipular tablas de datos. La comprobación Web App Firewall XML SQL Injection inspecciona todas las solicitudes XML para proporcionar defensas especiales contra la inyección de código SQL no autorizado que podría romper la seguridad. Si Web App Firewall detecta código SQL no autorizado en cualquier solicitud XML de cualquier usuario, puede bloquear la solicitud.

Citrix Web App Firewall inspecciona la presencia de palabras clave SQL y caracteres especiales para identificar el ataque XML SQL Injection. Un conjunto predeterminado de palabras clave y caracteres especiales proporciona palabras clave conocidas y caracteres especiales que se utilizan comúnmente para lanzar ataques SQL XML. El Web App Firewall considera tres caracteres, comilla simple (‘), barra invertida () y punto y coma (;) como caracteres especiales para el procesamiento de comprobaciones de seguridad SQL. Puede agregar nuevos patrones y modificar el conjunto predeterminado para personalizar la inspección de comprobación SQL XML.

Web App Firewall ofrece varias opciones de acción para implementar la protección XML SQL Injection. Puede bloquear la solicitud, registrar un mensaje en el archivo ns.log con detalles sobre las violaciones observadas y recopilar estadísticas para realizar un seguimiento del número de ataques observados.

Además de las acciones, hay varios parámetros que se pueden configurar para el procesamiento de inyección XML SQL. Puede comprobar si hay caracteres comodín SQL. Puede cambiar el tipo XML SQL Injection y seleccionar una de las 4 opciones (SQLKeyword, SQLPlChar, SQLSPlCharandKeyword, SQLSPlCharorKeyword) para indicar cómo evaluar las palabras clave SQL y los caracteres especiales SQL al procesar el XML carga útil. El parámetro XML SQL Comments Handling ofrece una opción para especificar el tipo de comentarios que deben inspeccionarse o eximirse durante la detección de XML SQL Injection.

Puede implementar relajantes para evitar falsos positivos. La comprobación XML SQL de Web App Firewall se realiza en la carga útil de las solicitudes entrantes, y las cadenas de ataque se identifican incluso si se distribuyen en varias líneas. La comprobación busca cadenas de SQL Injection en el elemento y los valores de atributo. Puede aplicar relajantes para eludir la inspección de comprobación de seguridad bajo condiciones especificadas. Los registros y las estadísticas pueden ayudarle a identificar las relajantes necesarias.

Opciones de acción

Se aplica una acción cuando la comprobación de inyección SQL XML detecta una cadena de ataque de inyección SQL en la solicitud. Las siguientes acciones están disponibles para configurar una protección optimizada XML SQL Injection para su aplicación:

Bloque: si habilita el bloque, la acción de bloque se activa solo si la entrada coincide con la especificación del tipo de inyección XML SQL. Por ejemplo, si SQLSplCharandKeyword está configurado como el tipo de inyección SQL XML, una solicitud no se bloquea si no contiene palabras clave, incluso si se detectan caracteres especiales de SQL en la carga útil. Tal solicitud se bloquea si el tipo de inyección XML SQL se establece en SQLSplCharo SQLsPlCharorKeyword.

Log: si habilita la función de registro, la comprobación XML SQL Injection genera mensajes de registro que indican las acciones que realiza. Si el bloque está inhabilitado, se genera un mensaje de registro independiente para cada ubicación (ELEMENT, ATTRIBUTE) en la que se detectó la infracción SQL XML. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Puede supervisar los registros para determinar si las respuestas a las solicitudes legítimas se están bloqueando. Un gran aumento en el número de mensajes de registro puede indicar intentos de lanzar un ataque.

Estadísticas: si está activada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que su aplicación está siendo atacada. Si las solicitudes legítimas se bloquean, es posible que tenga que volver a visitar la configuración para ver si necesita configurar nuevas reglas de relajación o modificar las existentes.

Parámetros XML SQL

Además de las acciones de bloque, registro y estadísticas, puede configurar los siguientes parámetros para la comprobación XML SQL Injection:

Comprobar caracteres comodín SQL XML: los caracterescomodín se pueden utilizar para ampliar las selecciones de una instrucción SQL-SELECT (lenguaje de consulta estructurado). Estos operadores de comodín se pueden utilizar junto con los operadores LIKE y NOT LIKE para comparar un valor con valores similares. Los caracteres de porcentaje (%) y subrayado (_) se utilizan con frecuencia como comodines. El signo de porcentaje es análogo al carácter comodín de asterisco (*) utilizado con MS-DOS y para hacer coincidir cero, uno o varios caracteres en un campo. El guión bajo es similar al signo de interrogación de MS-DOS (?) carácter comodín. Coincide con un único número o carácter en una expresión.

Por ejemplo, puede utilizar la siguiente consulta para realizar una búsqueda de cadenas para buscar todos los clientes cuyos nombres contengan el carácter D.

SELECT * from customer WHERE name like "%D%"

En el ejemplo siguiente se combinan los operadores para buscar cualquier valor de salario que tenga 0 como segundo y tercer carácter.

SELECT * from customer WHERE salary like '_00%

Diferentes proveedores de DBMS han ampliado los caracteres comodín agregando operadores adicionales. Citrix Web App Firewall puede proteger contra ataques que se inician mediante la inyección de estos caracteres comodín. Los 5 caracteres comodín predeterminados son porcentaje (%), guión bajo (_), intercalación (^) y corchete de apertura ([), y el corchete cuadrado de cierre (]). Esta protección se aplica tanto a perfiles HTML como XML.

Los caracteres comodín predeterminados son una lista de literales especificados en la *Firmas predeterminadas:

-  <wildchar type=”LITERAL”>%</wildchar>
-  <wildchar type=”LITERAL”>_</wildchar>
-  <wildchar type=”LITERAL”>^</wildchar>
-  <wildchar type=”LITERAL”>[</wildchar>
-  <wildchar type=”LITERAL”>]</wildchar>

Los caracteres comodín en un ataque pueden ser PCRE, como [^A-F]. El Web App Firewall también admite comodines PCRE, pero los caracteres comodín literales anteriores son suficientes para bloquear la mayoría de los ataques.

Nota

La comprobación de caracteres comodín SQL XML es diferente de la comprobación de caracteres especiales XML SQL. Esta opción debe utilizarse con precaución para evitar falsos positivos.

Check Request Conteniendo SQL Injection Type: Web App Firewall proporciona 4 opciones para implementar el nivel deseado de rigor para la inspección de SQL Injection, en función de las necesidades individuales de la aplicación. La solicitud se comprueba con la especificación de tipo de inyección para detectar infracciones SQL. Las 4 opciones de tipo de inyección SQL son:

  • Caracteres y palabra clave especialesde SQL: tanto una palabra clave SQL como un carácter especial SQL deben estar presentes en la ubicación inspeccionada para desencadenar una infracción SQL. Esta configuración menos restrictiva es también la predeterminada.
  • Character especial de SQL: al menos uno de los caracteres especiales debe estar presente en la cadena de carga procesada para desencadenar una infracción SQL.
  • Palabra clave SQL: al menos una de las palabras clave SQL especificadas debe estar presente en la cadena de carga procesada para desencadenar una infracción SQL. No seleccione esta opción sin tener debidamente en cuenta. Para evitar falsos positivos, asegúrese de que no se espera ninguna de las palabras clave en las entradas.
  • Character especial o palabra clave de SQL: la palabra clave o la cadena de caracteres especiales deben estar presentes en la carga útil para desencadenar la infracción de comprobación de seguridad.

Sugerencia

Si selecciona la opción Carácter especial de SQL, el Web App Firewall omite las cadenas que no contienen caracteres especiales. Dado que la mayoría de los servidores SQL no procesan comandos SQL que no están precedidos por un carácter especial, habilitar esta opción puede reducir significativamente la carga en el Web App Firewall y acelerar el procesamiento sin poner en riesgo los sitios web protegidos.

Manejo de comentarios SQL: de forma predeterminada, Web App Firewall analiza y comprueba todos los comentarios de los datos XML en busca de comandos SQL inyectados. Muchos servidores SQL ignoran cualquier cosa en un comentario, incluso si están precedidos por un carácter especial SQL. Para un procesamiento más rápido, si el servidor XML SQL ignora los comentarios, puede configurar Web App Firewall para que omita los comentarios al examinar las solicitudes de SQL inyectado. Las opciones de manejo de comentarios SQL XML son:

  • ANSI—Omitir comentarios SQL con formato ANSI, que normalmente son utilizados por bases de datos SQL basadas en UNIX.
  • Anidado: omita los comentarios de SQL anidados, que normalmente utiliza Microsoft SQL Server.
  • ANSI/anidado: omite los comentarios que se ajustan a los estándares de comentarios ANSI y SQL anidados. Los comentarios que solo coinciden con el estándar ANSI, o solo el estándar anidado, se siguen comprobando si se inyecta SQL.
  • Comprobar todos los comentarios: comprueba toda la solicitud de SQL inyectado, sin omitir nada. Esta es la opción predeterminada.

Sugerencia

En la mayoría de los casos, no debe elegir la opción Anidado o ANSI/anidado a menos que la base de datos back-end se ejecute en Microsoft SQL Server. La mayoría de los otros tipos de software de SQL Server no reconocen los comentarios anidados. Si aparecen comentarios anidados en una solicitud dirigida a otro tipo de servidor SQL, pueden indicar un intento de violar la seguridad en ese servidor.

Reglas de relajación

Si la aplicación requiere que omita la inspección XML SQL Injection para un ELEMENT o ATTRIBUTE específico en la carga útil XML, puede configurar una regla de relajación. Las reglas de relajación de inspección XML SQL Injection tienen los siguientes parámetros:

  • Nombre: Puede utilizar cadenas literales o expresiones regulares para configurar el nombre del ELEMENTO o del ATTRIBUTE. La siguiente expresión exime a todos los ELEMENTOS que empiecen por la cadena PurchaseOrder_ seguida de una cadena de números que tenga al menos dos y no más de diez caracteres de longitud:

    Comentario: “Exención de Comprobación SQL XML para Elementos de Pedido de Compra”

    XMLSQLInjection:  "PurchaseOrder_[0-9A-Za-z]{2,10}"

    IsRegex:  REGEX          Location:  ELEMENT

    State:  ENABLED

Nota: Los nombres distinguen entre mayúsculas y minúsculas. No se permiten entradas duplicadas, pero puede utilizar mayúsculas y minúsculas de los nombres y las diferencias de ubicación para crear entradas similares. Por ejemplo, cada una de las siguientes reglas de relajación es única:


1)      XMLSQLInjection:  XYZ    IsRegex:  NOTREGEX

        Location:  ELEMENT       State:  ENABLED

2)      XMLSQLInjection:  xyz    IsRegex:  NOTREGEX

        Location:  ELEMENT       State:  ENABLED

3)      XMLSQLInjection:  xyz    IsRegex:  NOTREGEX

        Location:  ATTRIBUTE     State:  ENABLED

4)      XMLSQLInjection:  XYZ    IsRegex:  NOTREGEX

        Location:  ATTRIBUTE     State:  ENABLED
  • Ubicación: Puede especificar la ubicación de la excepción Inspección SQL XML en la carga útil XML. La opción ELEMENT está seleccionada por defecto. Puede cambiarlo a ATTRIBUTE.
  • Comentario: Este es un campo opcional. Puede utilizar hasta una cadena de 255 caracteres para describir el propósito de esta regla de relajación.

Advertencia

Las expresiones regulares son potentes. Especialmente si no está completamente familiarizado con las expresiones regulares con formato PCRE-format, compruebe las expresiones regulares que escriba. Asegúrese de que definen exactamente el nombre que quiere agregar como excepción, y nada más. El uso descuidado de expresiones regulares puede tener resultados que no quiera, como bloquear el acceso al contenido web que no tenía intención de bloquear o permitir un ataque que la inspección XML SQL Injection habría bloqueado de otro modo.

Uso de la línea de comandos para configurar XML SQL Injection Check

Para configurar acciones de inyección SQL XML y otros parámetros mediante la línea de comandos:

En la interfaz de línea de comandos, puede utilizar el comando set appfw profile o el comando add appfw profile para configurar las protecciones XML SQL Injection. Puede habilitar las acciones de bloqueo, registro y estadísticas. Seleccione el tipo de patrón de ataque SQL (palabras clave, caracteres comodín, cadenas especiales) que quiere detectar en las cargas útiles. Utilice el comando unset appfw profile para revertir la configuración configurada a sus valores predeterminados. Cada uno de los comandos siguientes establece un solo parámetro, pero puede incluir varios parámetros en un solo comando:

  • set appfw profile <name> **-XMLSQLInjectionAction** (([block] [log] [stats]) | [none])
  • set appfw profile <name> -XMLSQLInjectionCheckSQLWildChars (ON |OFF)
  • set appfw profile <name> -XMLSQLInjectionType ([SQLKeyword] | [SQLSplChar] | [SQLSplCharANDKeyword] | [SQLSplCharORKeyword])
  • set appfw profile <name> -XMLSQLInjectionParseComments ([checkall] | [ansi|nested] | [ansinested])

Para configurar una regla de relajación de SQL Injection mediante la línea de comandos

Utilice el comando enlazar o desenlazar para agregar o eliminar reglas de relajación, como se indica a continuación:

-  bind appfw profile <name> -XMLSQLInjection <string> [isRegex (REGEX | NOTREGEX)] [-location ( ELEMENT | ATTRIBUTE )] –comment <string> [-state ( ENABLED | DISABLED )]
-  unbind appfw profile <name> -XMLSQLInjection <String>

Ejemplo:

> bind appfw profile test_profile -XMLSQLInjection "PurchaseOrder_[0-9A-Za-z]{2,15}" -isregex REGEX -location ATTRIBUTE

> unbind appfw profile test_profile –XMLSQLInjection "PurchaseOrder_[0-9A-Za-z]{2,15}" -location ATTRIBUTE

Uso de la GUI para configurar la comprobación de seguridad de inyección XMLSQL

En la GUI, puede configurar la comprobación de seguridad XML SQL Injection en el panel para el perfil asociado a la aplicación.

Para configurar o modificar la comprobación XML SQL Injection mediante la interfaz gráfica de usuario

  1. Vaya a Web App Firewall > Perfiles, resalte el perfil de destino y haga clic en Modificar.
  2. En el panel Configuración avanzada, haga clic en Comprobaciones de seguridad.

La tabla de comprobación de seguridad muestra los valores de acción configurados actualmente para todas las comprobaciones de seguridad. Tiene 2 opciones para la configuración:

a. Si solo quiere habilitar o inhabilitar las acciones Bloquear, Registrar y Estadísticas para XML SQL Injection, puede activar o desactivar las casillas de verificación de la tabla, hacer clic en Aceptar y, a continuación, en Guardar y cerrar para cerrar el panel Comprobación de seguridad.

b. Si quiere configurar opciones adicionales para esta comprobación de seguridad, haga doble clic en Inyección SQL XML o seleccione la fila y haga clic en Configuración de acción para mostrar las siguientes opciones:

Comprobar caracteres comodín SQL: considere los caracteres comodín SQL de la carga útil como patrones de ataque.

Solicitud de comprobación que contiene: Tipo de inyección SQL (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword o SQLSplCharORKeyword) que se va a comprobar.

Control de comentarios SQL: Tipo de comentarios (Comprobar todos los comentarios, ANSI, anidados o ANSI/anidados) que se van a comprobar.

Después de cambiar cualquiera de los parámetros anteriores, haga clic en Aceptar para guardar los cambios y volver a la tabla Comprobaciones de seguridad. Puede proceder a configurar otras comprobaciones de seguridad si es necesario. Haga clic en Aceptar para guardar todos los cambios realizados en la sección Comprobaciones de seguridad y, a continuación, haga clic en Guardar y cerrar para cerrar el panel Comprobación de seguridad.

Para configurar una regla de relajación XML SQL Injection mediante la interfaz gráfica de usuario

  1. Vaya a Web App Firewall > Perfiles, resalte el perfil de destino y haga clic en Modificar.
  2. En el panel Configuración avanzada, haga clic en Reglas de relajación.
  3. En la tabla Reglas de relajación, haga doble clic en la entrada XML SQL Injection, o selecciónela y haga clic en Modificar.
  4. En el cuadro de diálogo Reglas de relajación de inyección SQL XML, realice las operaciones Agregar, Modificar, Eliminar, Habilitar o Inhabilitar para las reglas de relajación.

Para administrar reglas de relajación de inyección SQL XML mediante el visualizador

Para obtener una vista consolidada de todas las reglas de relajación, puede resaltar la fila Inyección SQL XML en la tabla Reglas de relajación y hacer clic en Visualizador. El visualizador para las relajaciones implementadas le ofrece la opción de Agregar una nueva regla o Modificar una existente. También puede habilitar o inhabilitar un grupo de reglas seleccionando un nodo y haciendo clic en los botones correspondientes en el visualizador de relajación.

Para ver o personalizar los patrones de SQL Injection mediante la GUI:

Puede utilizar la GUI para ver o personalizar los patrones SQL.

Los patrones SQL predeterminados se especifican en Web App Firewall > Firmas > *Firmas predeterminadas. Si no vincula ningún objeto de firma al perfil, el perfil utilizará los patrones SQL predeterminados especificados en el objeto Firmas predeterminadas para el procesamiento de comprobación de seguridad XML SQL Injection. Las reglas y patrones del objeto Signatures Default son de solo lectura. No puede modificarlos ni modificarlos. Si quiere modificar o cambiar estos patrones, cree un objeto de firma definido por el usuario realizando una copia del objeto Signatures Default y cambiando los patrones SQL. Utilice el objeto de firma definido por el usuario en el perfil que procesa el tráfico para el que quiere utilizar estos patrones SQL personalizados.

Para obtener más información, consulte Firmas.

Para ver patrones SQL predeterminados:

a. Vaya a Web App Firewall > Firmas, seleccione *Firmas predeterminadas y haga clic en Modificar. A continuación, haga clic en Administrar patrones SQL/XSS.

La tabla Administrar rutas SQL/XSS muestra las siguientes cuatro filas pertenecientes a SQL Injection:

Injection (not_alphanum, SQL)/ Keyword

Injection (not_alphanum, SQL)/ specialstring

Injection (not_alphanum, SQL)/ transformrules/transform

Injection (not_alphanum, SQL)/ wildchar

b. Seleccione una fila y haga clic en Administrar elementos para mostrar los patrones SQL correspondientes (palabras clave, cadenas especiales, reglas de transformación o caracteres comodín) utilizados por la comprobación de inyección SQL de Web App Firewall.

Para personalizar patrones SQL: puede modificar un objeto de firma definido por el usuario para personalizar las palabras clave SQL, cadenas especiales y caracteres comodín. Puede agregar nuevas entradas o eliminar las existentes. Puede modificar las reglas de transformación para las cadenas especiales de SQL.

a. Vaya a Web App Firewall > Firmas, resalte la firma definida por el usuario de destino y haga clic en Modificar. Haga clic en Administrar patrones SQL/XSS para mostrar la tabla Administrar rutas SQL/XSS.

b. Seleccione la fila SQL de destino.

i. Haga clic en Administrar elementospara agregar, modificaro quitarel elemento SQL correspondiente.

ii. Haga clic en Eliminar para eliminar la fila seleccionada.

Advertencia

Debe tener mucho cuidado al quitar o modificar cualquier elemento SQL predeterminado, o eliminar la ruta SQL para eliminar toda la fila. Las reglas de firma, así como la comprobación de seguridad XML SQL Injection, se basan en estos elementos para detectar ataques de SQL Injection y proteger sus aplicaciones. Personalizar los patrones SQL puede hacer que la aplicación sea vulnerable a los ataques SQL XML si se quita el patrón requerido durante la edición.

Uso de la función de registro con la comprobación de inyección XML SQL

Cuando se habilita la acción de registro, las infracciones de comprobación de seguridad de XML SQL Injection se registran en el registro de auditoría como infracciones de APTFW_XML_SQL. El Web App Firewall admite los formatos de registro nativo y CEF. También puede enviar los registros a un servidor syslog remoto.

Para acceder a los mensajes de registro mediante la línea de comandos:

Cambie al shell y siga los ns.logs en la carpeta /var/log/ para acceder a los mensajes de registro correspondientes a las infracciones XML Cross-Site Scripting:

> Shell

> tail -f /var/log/ns.log | grep APPFW_XML_SQL

Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario

La GUI de Citrix incluye una herramienta útil (Syslog Viewer) para analizar los mensajes de registro. Tiene varias opciones para acceder al Visor de Syslog:

  • Vaya a Web App Firewall > Perfiles, seleccione el perfil de destino y haga clic en Comprobaciones de seguridad. Resalte la fila XML SQL Injection y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de XML SQL Injection del perfil, la GUI filtra los mensajes de registro y muestra solo los registros correspondientes a estas infracciones de comprobación de seguridad.

  • También puede acceder al Visor de Syslog navegando a Sistema > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos otros registros de infracciones de comprobación de seguridad. Esto es útil para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de solicitudes.

  • Vaya a Web App Firewall > Directivas > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos otros registros de infracciones de comprobación de seguridad.

El Visor de Syslog basado en XML proporciona varias opciones de filtro para seleccionar solo los mensajes de registro que le interesan. Para seleccionar mensajes de registro para la comprobación XML SQL Injection, filtre seleccionando APTFW en las opciones desplegables para Módulo. La lista Tipo de evento ofrece un amplio conjunto de opciones para refinar aún más su selección. Por ejemplo, si activa la casilla de verificación APTFW_XML_SQL y hace clic en el botón Aplicar, solo aparecerán mensajes de registro relacionados con las infracciones de comprobación de seguridad de XML SQL Injection en el Visor de Syslog.

Si coloca el cursor en la fila de un mensaje de registro específico, debajo del mensaje de registro aparecen varias opciones, como Módulo, Tipode evento, Id.de evento e IP de cliente. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en el mensaje de registro.

Estadísticas de las infracciones de inyección XML SQL

Cuando la acción de estadísticas está habilitada, el contador para la comprobación XML SQL Injection se incrementa cuando el Web App Firewall realiza cualquier acción para esta comprobación de seguridad. Las estadísticas se recopilan para Rate and Total count para Tráfico, Violaciones y Registros. El tamaño de un incremento del contador de registro puede variar dependiendo de la configuración configurada. Por ejemplo, si la acción de bloqueo está habilitada, una solicitud de una página que contiene tres infracciones de Inyección SQL XML incrementa el contador de estadísticas en uno, porque la página se bloquea tan pronto como se detecta la primera infracción. Sin embargo, si el bloque está inhabilitado, el procesamiento de la misma solicitud aumenta en tres el contador de estadísticas para infracciones y los registros, ya que cada infracción genera un mensaje de registro independiente.

Para mostrar las estadísticas de comprobación de XML SQL Injection mediante la línea de comandos

En el símbolo del sistema, escriba:

> sh appfw stats

Para mostrar las estadísticas de un perfil específico, utilice el siguiente comando:

> stat appfw profile <profile name>

Para mostrar las estadísticas de XML SQL Injection mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Seguridad > Web App Firewall.
  2. En el panel derecho, acceda al Enlace de estadísticas.
  3. Utilice la barra de desplazamiento para ver las estadísticas sobre infracciones y registros de XML SQL Injection. La tabla de estadísticas proporciona datos en tiempo real y se actualiza cada 7 segundos.