Citrix ADC

Vérification de la protection des scripts inter-site JSON

Si une charge utile JSON entrante contient des données de script intersite malveillantes, WAF bloque la demande. Les procédures suivantes expliquent comment vous pouvez configurer cela via des interfaces CLI et GUI.

Configurer la protection des scripts inter-sites JSON

Pour configurer la protection JSON XSS, vous devez effectuer les étapes suivantes :

  1. Ajouter un profil de pare-feu d’application en tant que JSON.
  2. Configurer l’action JSON XSS pour bloquer la charge utile malveillante XSS

Ajouter un profil de pare-feu d’application de type JSON

Vous devez d’abord créer un profil qui spécifie comment le pare-feu d’application doit protéger votre contenu Web JSON contre l’attaque JSON XSS.

À l’invite de commandes, tapez :

add appfw profile <name> -type (HTML | XML | JSON)

Remarque :

Lorsque vous définissez le type de profil comme JSON, d’autres vérifications telles que HTML ou XML ne s’appliquent pas.

Exemple

add appfw profile profile1 –type JSON

Exemple de sortie pour violation JSON XSS

JSONXSSAction: block log stats
Payload: {"username":"<a href="jAvAsCrIpT:alert(1)">X</a>","password":"xyz"}

Log message: Aug 19 06:57:33 <local0.info> 10.106.102.21 08/19/2019:06:57:33 GMT  0-PPE-0 : default APPFW APPFW_JSON_XSS 58 0 :  10.102.1.98 12-PPE0 - profjson http://10.106.102.24/ Cross-site script check failed for object value(with violation="Bad URL: jAvAsCrIpT:alert(1)") starting at offset(12). <blocked>

Counters
   1  357000                  1 as_viol_json_xss
   3  0                       1 as_log_json_xss
   5  0                       1 as_viol_json_xss_profile appfw__(profjson)
   7  0                       1 as_log_json_xss_profile appfw__(profjson)

Configurer l’action de script inter-site JSON

Vous devez configurer une ou plusieurs actions JSON XSS pour protéger votre application contre les attaques JSON Cross-Site Scripting. À l’invite de commandes, tapez :

set appfw profile <name> - JSONXSSAction [block] [log] [stats] [none]

Exemple

set appfw profile profile1 –JSONXSSAction block

Les actions de script inter-site disponibles sont les suivantes : Bloquer - Bloquer les connexions qui violent cette vérification de sécurité. Journal - Consigner les violations de cette vérification de sécurité. Statistiques - Génère des statistiques pour ce contrôle de sécurité. Aucun - Désactivez toutes les actions pour cette vérification de sécurité.

Remarque : Pour activer une ou plusieurs actions, tapez « set appfw profile - JsonXssAction” suivi des actions à activer.

Exemple

set appfw profile profile1 -JSONSQLInjectionAction block log stat

Configurer la protection JSON Cross Site Scripting (XSS) à l’aide de l’interface graphique Citrix

Suivez la procédure ci-dessous pour définir les paramètres de protection XSS (Cross Site Scripting).

  1. Dans le volet de navigation, accédez à Sécurité > Profils.
  2. Dans la page Profils, cliquez sur Ajouter.
  3. Dans la page Profil du Citrix Web App Firewall, cliquez sur Vérifications de sécurité sous Paramètres avancés.
  4. Dans la section Vérifications de sécurité, accédez aux paramètres JSON Cross-Site Scripting (XSS).
  5. Cliquez sur l’icône exécutable située près de la case à cocher.

    Vérification de sécurité JSON XSS

  6. Cliquez sur Paramètres d’action pour accéder à la page Paramètres de script inter-site JSON.
  7. Sélectionnez les actions JSON XSS.
  8. Cliquez sur OK.

    Vérification de sécurité JSON XSS

  9. Dans la page Profil du Citrix Web App Firewall, cliquez sur Règles de relaxation sous Paramètres avancés.
  10. Dans la section Règles de relaxation, sélectionnez Paramètres JSON Cross-Site Scripting et cliquez sur Modifier.

    Vérification de sécurité JSON XSS

  11. Dans la page JSON Cross-Site Scripting Relaxation Rule, cliquez sur Ajouter pour ajouter une règle de relaxation JSON Cross-Site Scripting.
  12. Entrez l’URL à laquelle la demande doit être envoyée. Toutes les demandes envoyées à cette URL ne seront pas bloquées.
  13. Cliquez sur Créer.

    Vérification de sécurité JSON XSS

Vérification de la protection des scripts inter-site JSON