Citrix ADC

Vérification de la protection des scripts inter-site JSON

Si une charge utile JSON entrante contient des données de script intersite malveillantes, WAF bloque la demande. Les procédures suivantes expliquent comment vous pouvez configurer cela via des interfaces CLI et GUI.

Configurer la protection des scripts inter-sites JSON

Pour configurer la protection des scripts inter-sites JSON, vous devez effectuer les étapes suivantes :

  1. Ajouter un profil de pare-feu d’application en tant que JSON.
  2. Configurer l’action de script inter-site JSON pour bloquer la charge utile malveillante de script inter-site

Ajouter un profil de pare-feu d’application de type JSON

Vous devez d’abord créer un profil qui spécifie comment le pare-feu d’application doit protéger votre contenu Web JSON contre les attaques de script inter-sites JSON.

À l’invite de commandes, tapez :

add appfw profile <name> -type (HTML | XML | JSON)

Remarque :

Lorsque vous définissez le type de profil comme JSON, d’autres vérifications telles que HTML ou XML ne s’appliquent pas.

Exemple

add appfw profile profile1 –type JSON

Exemple de sortie pour violation de script inter-site JSON

JSONcross-site scriptingAction: block log stats
Payload: {"username":"<a href="jAvAsCrIpT:alert(1)">X</a>","password":"xyz"}

Log message: Aug 19 06:57:33 <local0.info> 10.106.102.21 08/19/2019:06:57:33 GMT  0-PPE-0 : default APPFW APPFW_JSON_cross-site scripting 58 0 :  10.102.1.98 12-PPE0 - profjson http://10.106.102.24/ Cross-site script check failed for object value(with violation="Bad URL: jAvAsCrIpT:alert(1)") starting at offset(12). <blocked>

Counters
   1  357000                  1 as_viol_json_xss
   3  0                       1 as_log_json_xss
   5  0                       1 as_viol_json_xss_profile appfw__(profjson)
   7  0                       1 as_log_json_xss_profile appfw__(profjson)

<!--NeedCopy-->

Configurer l’action de script inter-site JSON

Vous devez configurer une ou plusieurs actions de script JSON inter-site pour protéger votre application contre les attaques de script inter-site JSON. À l’invite de commandes, tapez :

set appfw profile <name> - JSONcross-site scriptingAction [block] [log] [stats] [none]

Exemple

set appfw profile profile1 –JSONcross-site scriptingAction block

Les actions de script inter-site disponibles sont les suivantes : Bloquer - Bloquer les connexions qui violent cette vérification de sécurité. Journal - Consigner les violations de cette vérification de sécurité. Stats - Générez des statistiques pour cette vérification de sécurité. Aucun - Désactivez toutes les actions pour cette vérification de sécurité.

Remarque : Pour activer une ou plusieurs actions, tapez « set appfw profile - JSONCross-Site ScriptingAction » suivi des actions à activer.

Exemple

set appfw profile profile1 -JSONSQLInjectionAction block log stat

Configurer la protection JSON Cross Site Scripting (script inter-site) à l’aide de l’interface graphique Citrix

Suivez la procédure ci-dessous pour définir les paramètres de protection Cross Site Scripting (cross-site scripting).

  1. Dans le volet de navigation, accédez à Sécurité > Profils.
  2. Dans la page Profils, cliquez sur Ajouter.
  3. Sur la page Profil Citrix Web App Firewall, cliquez sur Contrôles de sécurité sous Paramètres avancés.
  4. Dans la section Vérifications de sécurité, accédez aux paramètres JSON Inter-Site Scripting (cross-site scripting).
  5. Cliquez sur l’icône exécutable située près de la case à cocher.

    Vérification de sécurité des scripts inter-sites JSON

  6. Cliquez sur Paramètres d’action pour accéder à la page Paramètres de script inter-site JSON.
  7. Sélectionnez les actions de script inter-site JSON.
  8. Cliquez sur OK.

    Vérification de sécurité des scripts inter-sites JSON

  9. Dans la page Profil du Citrix Web App Firewall, cliquez sur Règles de relaxation sous Paramètres avancés.
  10. Dans la section Règles de relaxation, sélectionnez Paramètres JSON Cross-Site Scripting et cliquez sur Modifier.

    Vérification de sécurité des scripts inter-sites JSON

  11. Dans la page JSON Cross-Site Scripting Relaxation Rule, cliquez sur Ajouter pour ajouter une règle de relaxation JSON Cross-Site Scripting.
  12. Entrez l’URL à laquelle la demande doit être envoyée. Toutes les demandes envoyées à cette URL ne seront pas bloquées.
  13. Cliquez sur Créer.

    Vérification de sécurité des scripts inter-sites JSON

Vérification de la protection des scripts inter-site JSON