-
-
Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops
-
Préférence de zone optimisée pour l'équilibrage de la charge du serveur global (GSLB)
-
Déploiement d'une plateforme de publicité numérique sur AWS avec Citrix ADC
-
Amélioration de l'analyse des flux de clics dans AWS à l'aide de Citrix ADC
-
Citrix ADC dans un cloud privé géré par Microsoft Windows Azure Pack et Cisco ACI
-
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Installer une instance Citrix ADC VPX sur le cloud VMware sur AWS
-
Installer une instance Citrix ADC VPX sur des serveurs Microsoft Hyper-V
-
Installer une instance Citrix ADC VPX sur la plate-forme Linux-KVM
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide d'OpenStack
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide de Virtual Machine Manager
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau SR-IOV
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau PCI
-
Provisioning de l'appliance virtuelle Citrix ADC à l'aide du programme virsh
-
Provisioning de l'appliance virtuelle Citrix ADC avec SR-IOV, sur OpenStack
-
Configuration d'une instance Citrix ADC VPX sur KVM pour utiliser les interfaces hôtes OVS DPDK
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Serveurs d'équilibrage de charge dans différentes zones de disponibilité
-
Haute disponibilité dans toutes les zones de disponibilité AWS
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS
-
Ajout d'un service de mise à l'échelle automatique AWS back-end
-
Configurer une instance Citrix ADC VPX pour utiliser l'interface réseau SR-IOV
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau améliorée avec AWS ENA
-
Déployer une instance de Citrix ADC VPX sur Microsoft Azure
-
Architecture réseau pour les instances Citrix ADC VPX sur Microsoft Azure
-
Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX
-
Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau accélérée Azure
-
Configurer les nœuds HA-INC à l'aide du modèle de haute disponibilité Citrix avec Azure ILB
-
Ajouter des paramètres de mise à l'échelle automatique Azure
-
Configurer GSLB sur une configuration haute disponibilité active en veille
-
Configurer des pools d'adresses (IIP) pour une appliance Citrix Gateway
-
Scripts PowerShell supplémentaires pour le déploiement Azure
-
Déployer une instance Citrix ADC VPX sur Google Cloud Platform
-
Déployer une paire haute disponibilité VPX sur Google Cloud Platform
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées sur Google Cloud Platform
-
Ajouter un service de mise à l'échelle automatique GCP back-end
-
Prise en charge de la mise à l'échelle VIP pour l'instance Citrix ADC VPX sur GCP
-
-
Automatiser le déploiement et les configurations de Citrix ADC
-
Solutions pour les fournisseurs de services de télécommunication
-
Trafic de plan de contrôle d'équilibrage de charge basé sur les protocoles Diameter, SIP et SMPP
-
Utilisation de la bande passante à l'aide de la fonctionnalité de redirection de cache
-
Optimisation TCP de Citrix ADC
-
Authentification, autorisation et audit du trafic des applications
-
Fonctionnement de l'authentification, de l'autorisation et de l'audit
-
Composants de base de la configuration d'authentification, d'autorisation et d'audit
-
Autorisation de l'accès des utilisateurs aux ressources applicatives
-
Citrix ADC en tant que proxy du service de fédération Active Directory
-
Citrix Gateway sur site en tant que fournisseur d'identité pour Citrix Cloud
-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Configuration d'authentification, d'autorisation et d'audit pour les protocoles couramment utilisés
-
Résoudre les problèmes liés à l'authentification et à l'autorisation
-
-
-
Prise en charge de la configuration Citrix ADC dans la partition d'administration
-
Prise en charge de VXLAN pour les partitions d'administration
-
Prise en charge de SNMP pour les partitions d'administration
-
Prise en charge des journaux d'audit pour les partitions d'administration
-
Afficher les adresses PMAC configurées pour la configuration VLAN partagée
-
-
-
-
Configuration de l'expression de stratégie avancée : Mise en route
-
Expressions de stratégie avancées : utilisation de dates, d'heures et de nombres
-
Expressions de stratégie avancées : analyse des données HTTP, TCP et UDP
-
Expressions de stratégie avancées : analyse des certificats SSL
-
Expressions de stratégie avancées : adresses IP et MAC, débit, ID VLAN
-
Expressions de stratégie avancées : fonctions d'analyse de flux
-
Référence aux expressions - Expressions de stratégie avancées
-
Résumé d'exemples d'expressions et de stratégies de syntaxe par défaut
-
Didacticiel exemples de stratégies de syntaxe par défaut pour la réécriture
-
Migration des règles Apache mod_rewrite vers la syntaxe par défaut
-
-
-
Traduire l'adresse IP de destination d'une requête vers l'adresse IP d'origine
-
-
Prise en charge de la configuration de Citrix ADC dans un cluster
-
-
-
Groupes de nœuds pour les configurations spotted et striped partielles
-
Suppression du nœud d'un cluster déployé à l'aide de l'agrégation de liens de cluster
-
Surveillance des itinéraires pour les itinéraires dynamiques dans le cluster
-
Surveillance de la configuration du cluster à l'aide de MIB SNMP avec liaison SNMP
-
Surveillance des échecs de propagation des commandes dans un déploiement de cluster
-
Prise en charge de MSR pour les nœuds inactifs dans une configuration de cluster spotted
-
Liaison d'interface VRRP dans un cluster actif à nœud unique
-
Scénarios de configuration et d'utilisation du cluster
-
Migration d'une configuration HA vers une configuration de cluster
-
Interfaces communes pour le client et le serveur et interfaces dédiées pour le backplane
-
Commutateur commun pour le client, le serveur et le backplane
-
Commutateur commun pour le client et le serveur et commutateur dédié pour le backplane
-
Services de surveillance dans un cluster à l'aide de la surveillance des chemins
-
Opérations prises en charge sur des nœuds de cluster individuels
-
-
-
Configurer les enregistrements de ressources DNS
-
Créer des enregistrements MX pour un serveur d'échange de messagerie
-
Créer des enregistrements NS pour un serveur faisant autorité
-
Créer des enregistrements NAPTR pour le domaine des télécommunications
-
Créer des enregistrements PTR pour les adresses IPv4 et IPv6
-
Créer des enregistrements SOA pour les informations faisant autorité
-
Créer des enregistrements TXT pour contenir du texte descriptif
-
Configurer Citrix ADC en tant que résolveur de stub adapté à la sécurité sans validation
-
Prise en charge des trames Jumbo pour DNS pour gérer les réponses de grandes tailles
-
Configurer la mise en cache négative des enregistrements DNS
-
-
Équilibrage de charge globale des serveurs
-
Configurer les entités GSLB individuellement
-
Cas d'utilisation : Déploiement d'un groupe de services d'échelle automatique basé sur l'adresse IP
-
-
Remplacer le comportement de proximité statique en configurant les emplacements préférés
-
Configurer la sélection du service GSLB à l'aide du changement de contenu
-
Configurer GSLB pour les requêtes DNS avec les enregistrements NAPTR
-
Exemple de configuration parent-enfant complète à l'aide du protocole d'échange de mesures
-
-
Équilibrer la charge du serveur virtuel et des états de service
-
Protéger une configuration d'équilibrage de charge contre les défaillances
-
-
Configurer des serveurs virtuels d'équilibrage de charge sans session
-
Réécriture des ports et des protocoles pour la redirection HTTP
-
Insérer l'adresse IP et le port d'un serveur virtuel dans l'en-tête de requête
-
Utiliser une adresse IP source spécifiée pour la communication backend
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Utiliser un port source à partir d'une plage de ports spécifiée pour la communication backend
-
Configurer la persistance de l'IP source pour les communications backend
-
-
Paramètres avancés d'équilibrage de charge
-
Protéger les applications sur les serveurs protégés contre les surtensions de trafic
-
Activer le nettoyage des connexions de serveur virtuel et de service
-
Activer ou désactiver la session de persistance sur les services TROFS
-
Activer la vérification de l'état TCP externe pour les serveurs virtuels UDP
-
Maintenir la connexion client pour plusieurs demandes client
-
Utiliser l'adresse IP source du client lors de la connexion au serveur
-
Définir une limite de nombre de requêtes par connexion au serveur
-
Définir une valeur de seuil pour les moniteurs liés à un service
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Définir une valeur de délai d'attente pour les connexions au serveur inactif
-
Définir une limite sur l'utilisation de la bande passante par les clients
-
Configurer les moniteurs dans une configuration d'équilibrage de charge
-
Configurer l'équilibrage de charge pour les protocoles couramment utilisés
-
Cas d'utilisation 3 : Configurer l'équilibrage de charge en mode de retour direct du serveur
-
Cas d'utilisation 4 : Configurer les serveurs LINUX en mode DSR
-
Cas d'utilisation 5 : Configurer le mode DSR lors de l'utilisation de TOS
-
Cas d'utilisation 7 : Configurer l'équilibrage de charge en mode DSR à l'aide d'IP sur IP
-
Cas d'utilisation 8 : Configurer l'équilibrage de charge en mode à un bras
-
Cas d'utilisation 9 : Configurer l'équilibrage de charge en mode Inline
-
Cas d'utilisation 10 : Équilibrage de la charge des serveurs du système de détection d'intrusion
-
Cas d'utilisation 11 : Isolation du trafic réseau à l'aide de stratégies d'écoute
-
Cas d'utilisation 12 : Configurer XenDesktop pour l'équilibrage de charge
-
Cas d'utilisation 13 : Configurer XenApp pour l'équilibrage de charge
-
Cas d'utilisation 14 : Assistant ShareFile pour l'équilibrage de charge Citrix ShareFile
-
-
Configurer pour source de trafic de données Citrix ADC FreeBSD à partir d'une adresse SNIP
-
Déchargement et accélération SSL
-
Prise en charge du protocole TLSv1.3 tel que défini dans la RFC 8446
-
Suites de chiffrement disponibles sur les appliances Citrix ADC
-
Matrice de prise en charge des certificats de serveur sur l'appliance ADC
-
Prise en charge du module de sécurité matérielle du réseau Gemalto SafeNet
-
-
-
-
Authentification et autorisation pour les utilisateurs du système
-
Configuration des utilisateurs, des groupes d'utilisateurs et des stratégies de commande
-
Réinitialisation du mot de passe administrateur par défaut (nsroot)
-
Configuration de l'authentification des utilisateurs externes
-
Authentification basée sur la clé SSH pour les administrateurs Citrix ADC
-
Authentification à deux facteurs pour les utilisateurs système
-
-
-
Configuration d'un tunnel de connecteur CloudBridge entre deux centres de données
-
Configuration de CloudBridge Connector entre Datacenter et AWS Cloud
-
Configuration d'un tunnel de connecteur CloudBridge entre un centre de données et Azure Cloud
-
Configuration du tunnel Connector CloudBridge entre Datacenter et SoftLayer Enterprise Cloud
-
-
Points à prendre en considération pour une configuration de haute disponibilité
-
Restriction du trafic de synchronisation haute disponibilité à un VLAN
-
Configuration des nœuds haute disponibilité dans différents sous-réseaux
-
Limitation des basculements causés par les moniteurs de routage en mode non-INC
-
Comprendre le calcul de la vérification de l'état de haute disponibilité
-
Gestion des messages de pulsation haute disponibilité sur une appliance Citrix ADC
-
Suppression et remplacement d'un Citrix ADC dans une configuration haute disponibilité
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Vérification par injection HTML SQL
De nombreuses applications Web ont des formulaires Web qui utilisent SQL pour communiquer avec des serveurs de bases de données relationnelles. Un code malveillant ou un pirate peut utiliser un formulaire Web non sécurisé pour envoyer des commandes SQL au serveur Web. La vérification HTML SQL Injection du Web App Firewall fournit des défenses spéciales contre l’injection de code SQL non autorisé qui pourrait briser la sécurité. Si le Web App Firewall détecte du code SQL non autorisé dans une demande utilisateur, il transforme la demande, rend le code SQL inactif ou bloque la demande. Le Web App Firewall examine la charge utile de la requête pour le code SQL injecté à trois emplacements : 1) corps POST, 2) en-têtes et 3) cookies. Afin d’examiner la partie de requête dans les requêtes de code SQL injecté, veuillez configurer le paramètre de profil appfw ‘InspectQueryContentTypes’ pour les types de contenu spécifiques.
Un ensemble par défaut de mots-clés et de caractères spéciaux fournit des mots-clés connus et des caractères spéciaux couramment utilisés pour lancer des attaques SQL. Vous pouvez ajouter de nouveaux modèles et modifier le jeu par défaut pour personnaliser l’inspection de vérification SQL. Le Web App Firewall offre diverses options d’action pour implémenter la protection SQL Injection. En plus des actions Block, Log, Statset Learn, le profil Web App Firewall offre également la possibilité de transformer des caractères spéciaux SQLpour rendre une attaque inoffensive.
En plus des actions, il existe plusieurs paramètres qui peuvent être configurés pour le traitement par injection SQL. Vous pouvez vérifier les caractères génériques SQL. Vous pouvez modifier le type d’injection SQL et sélectionner l’une des 4 options (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) pour indiquer comment évaluer les mots-clés SQL et les caractères spéciaux SQL lors du traitement de la charge utile. Le paramètre SQL Comments Handling vous permet de spécifier le type de commentaires qui doivent être inspectés ou exemptés lors de la détection SQL Injection.
Vous pouvez déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage du Web App Firewall peut fournir des recommandations pour la configuration des règles de relaxation.
Les options suivantes sont disponibles pour configurer une protection SQL Injection optimisée pour votre application :
Block—Si vous activez le bloc, l’action de bloc n’est déclenchée que si l’entrée correspond à la spécification de type d’injection SQL. Par exemple, si SQLSplCharANDKeyword est configuré comme type d’injection SQL, une requête n’est pas bloquée si elle ne contient pas de mots-clés, même si des caractères spéciaux SQL sont détectés dans l’entrée. Une telle requête est bloquée si le type d’injection SQL est défini sur SQLSplCharou SQLSplCharORKeyword.
Log—Si vous activez la fonction de journal, la vérification SQL Injection génère des messages de journal indiquant les actions qu’elle effectue. Si bloc est désactivé, un message de journal distinct est généré pour chaque champ d’entrée dans lequel la violation SQL a été détectée. Toutefois, un seul message est généré lorsque la demande est bloquée. De même, un message de journal par requête est généré pour l’opération de transformation, même lorsque des caractères spéciaux SQL sont transformés dans plusieurs champs. Vous pouvez surveiller les journaux pour déterminer si les réponses aux demandes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.
Statistiques : si cette option est activée, la fonction de statistiques recueille des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que votre application est attaquée. Si des demandes légitimes sont bloquées, vous devrez peut-être revoir la configuration pour voir si vous devez configurer de nouvelles règles de relaxation ou modifier celles existantes.
Learn—Si vous n’êtes pas sûr des règles de relaxation SQL qui conviennent parfaitement à votre application, vous pouvez utiliser la fonctionnalité learn pour générer des recommandations basées sur les données apprises. Le moteur d’apprentissage du Web App Firewall surveille le trafic et fournit des recommandations d’apprentissage SQL basées sur les valeurs observées. Pour obtenir un avantage optimal sans compromettre les performances, vous pouvez activer l’option d’apprentissage pendant une courte période afin d’obtenir un échantillon représentatif des règles, puis déployer les règles et désactiver l’apprentissage.
Transformer les caractères spéciaux SQL : le Web App Firewall considère trois caractères : guillemets simples (‘), barre oblique inverse () et point-virgule ( ;) comme caractères spéciaux pour le traitement des vérifications de sécurité SQL. La fonction de transformation SQL modifie le code d’injection SQL dans une requête HTML pour s’assurer que la requête est rendue inoffensive. La requête HTML modifiée est ensuite envoyée au serveur. Toutes les règles de transformation par défaut sont spécifiées dans le fichier /netscaler/default_custom_settings.xml.
L’opération de transformation rend le code SQL inactif en apportant les modifications suivantes à la demande :
- Citation simple (‘) à double citation droite (“).
- Inversible () à double barre oblique inverse ().
- Le point-virgule (;) est supprimé complètement.
Ces trois caractères (chaînes spéciales) sont nécessaires pour émettre des commandes à un serveur SQL. À moins qu’une commande SQL ne soit précédée d’une chaîne spéciale, la plupart des serveurs SQL ignorent cette commande. Par conséquent, les modifications effectuées par le Web App Firewall lorsque la transformation est activée empêchent un attaquant d’injecter du SQL actif. Une fois ces modifications apportées, la demande peut être transmise en toute sécurité à votre site Web protégé. Lorsque les formulaires Web de votre site Web protégé peuvent légitimement contenir des chaînes spéciales SQL, mais que les formulaires Web ne dépendent pas des chaînes spéciales pour fonctionner correctement, vous pouvez désactiver le blocage et activer la transformation pour empêcher le blocage des données de formulaire Web légitimes sans réduire la protection que l’application Web Le pare-feu fournit à vos sites Web protégés.
L’opération de transformation fonctionne indépendamment du paramètre Type d’injection SQL. Si la transformation est activée et que le type d’injection SQL est spécifié en tant que mot-clé SQL, les caractères spéciaux SQL sont transformés même si la requête ne contient aucun mot clé.
Conseil
Vous activez normalement la transformation ou le blocage, mais pas les deux. Si l’action de blocage est activée, elle a priorité sur l’action de transformation. Si le blocage est activé, l’activation de la transformation est redondante.
Check for SQL Wildcard Characters—Les caractères Wild card peuvent être utilisés pour élargir les sélections d’une instruction SQL-SELECT (langage de requête structuré). Ces opérateurs de carte génériques peuvent être utilisés en conjonction avec les opérateurs LIKE et NOT LIKE pour comparer une valeur à des valeurs similaires. Le pourcentage (%) et le trait de soulignement (_) sont fréquemment utilisés comme caractères génériques. Le signe de pourcentage est analogue au caractère générique astérisque (*) utilisé avec MS-DOS et correspond à zéro, un ou plusieurs caractères dans un champ. Le trait de soulignement est similaire au point d’interrogation MS-DOS ( ?) caractère générique. Il correspond à un nombre ou un caractère unique dans une expression.
Par exemple, vous pouvez utiliser la requête suivante pour effectuer une recherche de chaîne pour rechercher tous les clients dont les noms contiennent le caractère D.
SELECT * from customer WHERE name like “%D%”:
L’exemple suivant combine les opérateurs pour rechercher les valeurs de salaire qui ont 0 en deuxième et troisième place.
SELECT * from customer WHERE salary like ‘_00%’:
Différents fournisseurs de SGBD ont étendu les caractères génériques en ajoutant des opérateurs supplémentaires. Le Citrix Web App Firewall peut se protéger contre les attaques lancées en injectant ces caractères génériques. Les 5 caractères génériques par défaut sont le pourcentage (%), le trait de soulignement (_), l’accent circonflexe (^), crochet ouvrant ([), et le crochet de fermeture (]). Cette protection s’applique aux profils HTML et XML.
Les caractères génériques par défaut sont une liste de littéraux spécifiés dans *Signatures par défaut :
<wildchar type=”LITERAL”>%</wildchar>
<wildchar type=”LITERAL”>_</wildchar>
<wildchar type=”LITERAL”>^</wildchar>
<wildchar type=”LITERAL”>[</wildchar>
<wildchar type=”LITERAL”>]</wildchar>
Les caractères génériques dans une attaque peuvent être PCRE, comme [^A-F]. Le Web App Firewall prend également en charge les caractères génériques PCRE, mais les caractères génériques littéraux ci-dessus sont suffisants pour bloquer la plupart des attaques.
Remarque
La vérification des caractères génériques SQL est différente de la vérification des caractères spéciaux SQL. Cette option doit être utilisée avec prudence pour éviter les faux positifs.
Check Request Contenant le type d’injection SQL : le Web App Firewall fournit 4 options pour implémenter le niveau de rigueur souhaité pour l’inspection SQL Injection, en fonction des besoins individuels de l’application. La demande est vérifiée par rapport à la spécification de type d’injection pour détecter les violations SQL. Les 4 options de type d’injection SQL sont les suivantes :
- Caractère spécial SQL et mot-clé : un mot-clé SQL et un caractère spécial SQL doivent être présents dans l’entrée pour déclencher une violation SQL. Ce paramètre le moins restrictif est également le paramètre par défaut.
- Caractère spécial SQL : au moins un des caractères spéciaux doit être présent dans l’entrée pour déclencher la violation SQL.
- Mot-clé SQL—Au moins un des mots-clés SQL spécifiés doit être présent dans l’entrée pour déclencher une violation SQL. Ne sélectionnez pas cette option sans considération. Pour éviter les faux positifs, assurez-vous qu’aucun des mots-clés n’est attendu dans les entrées.
- Caractère spécial SQL ou mot-clé : le mot clé ou la chaîne de caractères spéciaux doit être présent dans l’entrée pour déclencher la violation de vérification de sécurité.
Conseil
Si vous configurez le Web App Firewall pour rechercher les entrées contenant un caractère spécial SQL, le pare-feu Web App ignore les champs de formulaire Web qui ne contiennent pas de caractères spéciaux. Étant donné que la plupart des serveurs SQL ne traitent pas les commandes SQL qui ne sont pas précédées d’un caractère spécial, l’activation de cette option peut réduire considérablement la charge sur le Web App Firewall et accélérer le traitement sans mettre vos sites Web protégés en danger.
Gestion des commentaires SQL : par défaut, le Web App Firewall vérifie tous les commentaires SQL pour les commandes SQL injectées. De nombreux serveurs SQL ignorent quoi que ce soit dans un commentaire, même s’ils sont précédés d’un caractère spécial SQL. Pour un traitement plus rapide, si votre serveur SQL ignore les commentaires, vous pouvez configurer le Web App Firewall pour ignorer les commentaires lors de l’examen des demandes de SQL injecté. Les options de gestion des commentaires SQL sont les suivantes :
-
ANSI—Ignorer les commentaires SQL au format ANSI, qui sont normalement utilisés par les bases de données SQL UNIX. Par exemple :
-
— (Deux traits d’union) - Ceci est un commentaire qui commence par deux traits d’union et se termine par la fin de la ligne.
-
{} - Accolades (Les accolades enferment le commentaire. La { précède le commentaire, et la } le suit. Les accolades peuvent délimiter les commentaires à une ou plusieurs lignes, mais les commentaires ne peuvent pas être imbriqués)
-
/* */ : C style comments (Does not allow nested comments). Please note /*! <comment that begin with slash followed by asterisk and exclamation mark is not a comment > */
-
MySQL Server prend en charge certaines variantes de commentaires de style C. Ceux-ci vous permettent d’écrire du code qui inclut des extensions MySQL, mais qui est toujours portable, en utilisant les commentaires de la forme suivante :
/*! MySQL-specific code */
-
. # : Mysql comments : ceci est un commentaire qui commence par le caractère # et se termine par la fin de la ligne
-
- Imbriqué—Ignorer les commentaires SQL imbriqués, qui sont normalement utilisés par Microsoft SQL Server. Par exemple ; — (Deux hypens), et /* */ (Autorise les commentaires imbriqués)
- ANSI/imbriqué—Ignorer les commentaires qui respectent les normes ANSI et SQL de commentaires imbriqués. Les commentaires qui correspondent uniquement à la norme ANSI, ou uniquement à la norme imbriquée, sont toujours vérifiés pour le SQL injecté.
- Check all Comments—Vérifiez l’intégralité de la requête pour SQL injecté sans sauter quoi que ce soit. C’est le réglage par défaut.
Conseil
Dans la plupart des cas, vous ne devez pas choisir l’option imbriquée ou ANSI/imbriquée sauf si votre base de données back-end s’exécute sur Microsoft SQL Server. La plupart des autres types de logiciels SQL Server ne reconnaissent pas les commentaires imbriqués. Si des commentaires imbriqués apparaissent dans une requête dirigée vers un autre type de serveur SQL, ils peuvent indiquer une tentative de violation de la sécurité sur ce serveur.
Vérifier les en-têtes de demande : activez cette option si, en plus d’examiner l’entrée dans les champs de formulaire, vous souhaitez examiner les en-têtes de demande pour les attaques HTML SQL Injection. Si vous utilisez l’interface graphique, vous pouvez activer ce paramètre dans le volet Paramètres avancés -> Paramètres de profil du profil Pare-feu de l’application Web.
Remarque
Si vous activez l’indicateur d’en-tête de demande de vérification, vous devrez peut-être configurer la règle de relaxation pour l’en-tête User-Agent. La présence du mot-clé SQL like et du caractère spécial SQL point-virgule (; ) peut déclencher des requêtes fausses positives et bloquer qui contiennent cet en-tête. Avertissement
Si vous activez à la fois la vérification des en-têtes de requête et la transformation, tous les caractères spéciaux SQL trouvés dans les en-têtes sont également transformés. Les en-têtes Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect et User-Agent contiennent normalement des points-virgules ( ;). L’activation simultanée de la vérification des en-têtes de demande et de la transformation peut entraîner des erreurs.
InspectQueryContentTypes : configurez cette option si vous souhaitez examiner la partie requête pour les attaques SQL Injection pour les types de contenu spécifiques. Si vous utilisez l’interface graphique, vous pouvez configurer ce paramètre dans le volet Paramètres avancés -> Paramètres du profil du profil Pare-feu de l’application.
SQL Relaxations à grain fin
Le Web App Firewall vous permet d’exempter un champ de formulaire, un en-tête ou un cookie spécifique de la vérification d’inspection SQL Injection. Vous pouvez contourner complètement l’inspection d’un ou de plusieurs de ces champs en configurant des règles de relaxation pour la vérification SQL Injection.
Le Web App Firewall vous permet de mettre en œuvre une sécurité plus stricte en affinant les règles de relaxation. Une application peut nécessiter la flexibilité nécessaire pour autoriser des modèles spécifiques, mais la configuration d’une règle de relaxation pour contourner l’inspection de sécurité peut rendre l’application vulnérable aux attaques, car le champ cible est exempté de l’inspection pour tout modèle d’attaque SQL. La relaxation à grain fin SQL fournit la possibilité d’autoriser des motifs spécifiques et de bloquer le reste. Par exemple, le Web App Firewall dispose actuellement d’un ensemble par défaut de plus de 100 mots-clés SQL. Étant donné que les pirates peuvent utiliser ces mots-clés dans des attaques SQL Injection, le Web App Firewall les signale comme des menaces potentielles. Vous pouvez détendre un ou plusieurs mots clés considérés comme sûrs pour l’emplacement spécifique. Le reste des mots-clés SQL potentiellement dangereux sont toujours vérifiés pour l’emplacement cible et continuent de déclencher les violations de vérification de sécurité. Vous avez maintenant un contrôle beaucoup plus serré.
Les commandes utilisées dans les relaxations ont des paramètres facultatifs pour Type de valeur et Expression de valeur. Vous pouvez spécifier si l’expression de valeur est une expression régulière ou une chaîne littérale. Le type de valeur peut être laissé vide ou vous avez une option pour sélectionner Mot-clé ou SpecialString ou WildChar.
Avertissement
Les expressions régulières sont puissantes. Surtout si vous n’êtes pas familier avec les expressions régulières au format PCRE, vérifiez les expressions régulières que vous écrivez. Assurez-vous qu’ils définissent exactement l’URL que vous souhaitez ajouter en tant qu’exception, et rien d’autre. L’utilisation négligente des caractères génériques, et en particulier de la combinaison de métacaractres/caractères génériques (.*), peut avoir des résultats que vous ne voulez pas, comme bloquer l’accès au contenu Web que vous n’aviez pas l’intention de bloquer ou autoriser une attaque que la vérification HTML SQL Injection aurait autrement bloquée.
Points à considérer :
- L’expression de valeur est un argument facultatif. Un nom de champ peut ne pas avoir d’expression de valeur.
- Un nom de champ peut être lié à plusieurs expressions de valeur.
- Un type de valeur doit être affecté aux expressions de valeur. Le type de valeur SQL peut être : 1) Mot-clé, 2) SpecialString ou 3) WildChar.
- Vous pouvez avoir plusieurs règles de relaxation par combinaison nom/URL de champ.
Utilisation de la ligne de commande pour configurer la vérification d’injection SQL
Pour configurer des actions SQL Injection et d’autres paramètres à l’aide de la ligne de commande :
Dans l’interface de ligne de commande, vous pouvez utiliser la commande set appfw profile ou la commande add appfw profile pour configurer les protections SQL Injection. Vous pouvez activer le bloc, apprendre, enregistrer, stats action et spécifier si vous souhaitez transformer les caractères spéciaux utilisés dans les chaînes d’attaque SQL Injection pour désactiver l’attaque. Sélectionnez le type de modèle d’attaque SQL (mots-clés, caractères génériques, chaînes spéciales) que vous souhaitez détecter dans les charges utiles et indiquez si vous souhaitez que le Web App Firewall inspecte également les en-têtes de requête pour les violations SQL Injection. Utilisez la commande unset appfw profile pour rétablir les paramètres configurés à leurs valeurs par défaut. Chacune des commandes suivantes ne définit qu’un seul paramètre, mais vous pouvez inclure plusieurs paramètres dans une seule commande :
- set appfw profile “Parameter descriptions provided at bottom of the page.”
<name> -SQLInjectionAction (([block] [learn] [log] [stats]) | [none])
- set appfw profile “Parameter descriptions provided at bottom of the page.”
<name> -SQLInjectionTransformSpecialChars (**ON** | OFF)
- set appfw profile “Parameter descriptions provided at bottom of the page.”
<name> -**SQLInjectionCheckSQLWildChars** (**ON** |**OFF**)
- set appfw profile “Parameter descriptions provided at bottom of the page.”
**<name> -**SQLInjectionType** ([**SQLKeyword**] | [**SQLSplChar**] | [**SQLSplCharANDKeyword**] | [**SQLSplCharORKeyword**])
- set appfw profile “Parameter descriptions provided at bottom of the page.”
<name> -**SQLInjectionParseComments** ([**checkall**] | [**ansi|nested**] | [**ansinested**])
- **set appfw profile “Parameter descriptions provided at bottom of the page.”
-
<name> -CheckRequestHeaders (ON | OFF)
Parameter descriptions provided at bottom of the page. -
<name> - CheckRequestQueryNonHtml (ON | OFF)
Parameter descriptions provided at bottom of the page.
Pour configurer une règle de relaxation SQL Injection à l’aide de la ligne de commande
Utilisez la commande bind ou unbind pour ajouter ou supprimer une liaison, comme suit :
-
bind appfw profile <name> -SQLInjection <String> [isRegex(REGEX| NOTREGE)] <formActionURL> [-location <location>] [-valueType (Keywor|SpecialString|Wildchar) [<valueExpression>][-isValueRegex (REGEX | NOTREGEX) ]]
-
unbind appfw profile <name> -SQLInjection <String> <formActionURL> [-location <location>] [-valueTyp (Keyword|SpecialString|Wildchar) [<valueExpression>]]
Remarque
Vous pouvez trouver la liste des mots-clés SQL à partir du contenu du fichier de signature par défaut en affichant l’objet de signature de vue, qui contient la liste des mots-clés sql et des caractères spéciaux sql.
Utilisation de l’interface graphique pour configurer la vérification de sécurité SQL Injection
Dans l’interface graphique, vous pouvez configurer le contrôle de sécurité SQL Injection dans le volet pour le profil associé à votre application.
Pour configurer ou modifier la vérification SQL Injection à l’aide de l’interface graphique
- Accédez à Application Pare-feu > Profils, mettez en surbrillance le profil cible et cliquez sur Modifier.
- Dans le volet Paramètres avancés, cliquez sur Vérifications de sécurité.
La table de vérification de sécurité affiche les paramètres d’action actuellement configurés pour tous les contrôles de sécurité. Vous avez 2 options de configuration :
a. Si vous souhaitez simplement activer ou désactiver les actions Bloquer, Journaliser, Statistiques et Apprendre pour HTML SQL Injection, vous pouvez activer ou désactiver les cases à cocher dans le tableau, cliquez sur OK, puis cliquez sur Enregistrer et fermer pour fermer le volet Contrôle de sécurité.
b. Si vous souhaitez configurer des options supplémentaires pour cette vérification de sécurité, double-cliquez sur HTML SQL Injection ou sélectionnez la ligne et cliquez sur Paramètres d’action, pour afficher les options suivantes :
Transformer le caractère spécial SQL—Transformez tous les caractères spéciaux SQL dans la requête.
Rechercher les caractères génériques SQL—Considérez les caractères génériques SQL dans la charge utile comme des modèles d’attaque.
Vérifier la requête contenant—Type d’injection SQL (SQLKeyWord, SQLSplChar, SQLSplChar, SQLSplChArdKeyword ou SQLSplCharorKeyword) à vérifier.
Gestion des commentaires SQL : type de commentaires (Vérifier tous les commentaires, ANSI, imbriqué ou ANSI/imbriqué) à vérifier.
Après avoir modifié l’un des paramètres ci-dessus, cliquez sur OK pour enregistrer les modifications et revenir au tableau Vérifications de sécurité. Vous pouvez procéder à la configuration d’autres vérifications de sécurité si nécessaire. Cliquez sur OK pour enregistrer toutes les modifications que vous avez apportées dans la section Contrôles de sécurité, puis cliquez sur Enregistrer et fermer pour fermer le volet de vérification de la sécurité.
Pour configurer une règle de relaxation SQL Injection à l’aide de l’interface graphique
- Accédez à Application Pare-feu > Profils, mettez en surbrillance le profil cible, puis cliquez sur Modifier.
- Dans le volet Paramètres avancés, cliquez sur Règles de relaxation.
- Dans le tableau Règles de relaxation, double-cliquez sur l’entrée HTML SQL Injection ou sélectionnez-la et cliquez sur Modifier.
- Dans la boîte de dialogue Règles de relaxation HTML Injection SQL, effectuez les opérations Ajouter, Modifier, Supprimer, Activer ou Désactiver pour les règles de relaxation.
Remarque
Lorsque vous ajoutez une nouvelle règle, le champ Expression de la valeur n’est pas affiché, sauf si vous sélectionnez l’option Mot-clé ou SpecialString ou WildChar dans le champ Type de valeur.
Pour gérer les règles de relaxation SQL Injection à l’aide du visualiseur
Pour obtenir une vue consolidée de toutes les règles de relaxation, vous pouvez mettre en surbrillance la ligne HTML SQL Injection et cliquer sur Visualizer. Le visualiseur pour les relaxations déployées vous offre la possibilité d’ ajouter une nouvelle règle ou de modifier une règle existante. Vous pouvez également activer ou désactiver un groupe de règles en sélectionnant un nœud et en cliquant sur les boutons correspondants dans le visualiseur de relaxation.
Pour afficher ou personnaliser les modèles d’injection SQL à l’aide de l’interface graphique
Vous pouvez utiliser l’interface graphique pour afficher ou personnaliser les modèles SQL.
Les modèles SQL par défaut sont spécifiés dans Application Firewall > Signatures > Signaturespar défaut. Si vous ne liez aucun objet de signature à votre profil, les modèles SQL par défaut spécifiés dans l’objet Signatures par défaut seront utilisés par le profil pour le traitement des vérifications de sécurité SQL Injection. Les règles et les motifs, spécifiés dans l’objet signatures par défaut, sont en lecture seule. Vous ne pouvez pas les modifier ou les modifier. Si vous souhaitez modifier ou modifier ces modèles, faites une copie de l’objet Signatures par défaut pour créer un objet signature défini par l’utilisateur. Modifiez les modèles SQL dans le nouvel objet de signature défini par l’utilisateur et utilisez cet objet de signature dans votre profil qui traite le trafic pour lequel vous souhaitez utiliser ces modèles SQL personnalisés.
Pour de plus amples informations, consultez Signatures
-
Pour afficher les modèles SQL par défaut :
a. Accédez à Application Pare-feu > Signatures, sélectionnez *Signatures par défaut, puis cliquez sur Modifier.
Cliquez ensuite sur Gérer les modèles de script SQL/inter-sites.
La table Gérer les chemins de script SQL/inter-site présente les quatre lignes suivantes relatives à l’injection SQL :
- Injection (not_alphanum, SQL)/ Keyword
- Injection (not_alphanum, SQL)/ wildchar
- Injection (not_alphanum, SQL)/ transformrules/transform
- Injection (not_alphanum, SQL)/ wildchar
b. Sélectionnez une ligne et cliquez sur Gérer les éléments pour afficher les modèles SQL correspondants (mots-clés, chaînes spéciales, règles de transformation ou caractères génériques) utilisés par la vérification d’injection SQL du Web App Firewall.
-
Pour personnaliser les modèles SQL : vous pouvez modifier l’objet signature défini par l’utilisateur pour personnaliser les mots-clés SQL, les chaînes spéciales et les caractères génériques. Vous pouvez ajouter de nouvelles entrées ou supprimer celles qui existent déjà. Vous pouvez modifier les règles de transformation des chaînes spéciales SQL.
a. Accédez à Application Pare-feu > Signatures, mettez en surbrillance la signature définie par l’utilisateur cible et cliquez sur Modifier. Cliquez sur Gérer les modèles de script SQL/inter-sites pour afficher la table Gérer les chemins de script SQL/inter-site.
b. Sélectionnez la ligne d’injection SQL cible.
i. Cliquez sur Gérer les élémentspour ajouter, modifierou supprimerl’élément SQL correspondant.
ii. Cliquez sur Supprimer pour supprimer la ligne sélectionnée.
Avertissement
Vous devez être très prudent avant de supprimer ou de modifier un élément SQL par défaut, ou de supprimer le chemin SQL pour supprimer toute la ligne. Les règles de signature ainsi que la vérification de sécurité SQL Inject s’appuient sur ces éléments pour détecter les attaques SQL Injection afin de protéger vos applications. La personnalisation des modèles SQL peut rendre votre application vulnérable aux attaques SQL si le modèle requis est supprimé lors de la modification.
Utilisation de la fonctionnalité d’apprentissage avec la vérification d’injection SQL
Lorsque l’action d’apprentissage est activée, le moteur d’apprentissage du Web App Firewall surveille le trafic et apprend les violations déclenchées. Vous pouvez inspecter périodiquement ces règles apprises. Après avoir dûment pris en considération, vous pouvez déployer la règle apprise en tant que règle de relaxation SQL Injection.
Amélioration de l’apprentissage par injection SQL : une amélioration de l’apprentissage du Web App Firewall a été introduite dans la version 11.0 du logiciel Citrix ADC. Pour déployer une relaxation SQL Injection fine, le Web App Firewall offre un apprentissage SQL Injection à grain fin. Le moteur d’apprentissage formule des recommandations concernant le type de valeur observé (mot-clé, SpecialString, Wildchar) et l’expression de valeur correspondante observée dans les champs d’entrée. En plus de vérifier les demandes bloquées pour déterminer si la règle actuelle est trop restrictive et doit être assouplie, vous pouvez consulter les règles générées par le moteur de formation pour déterminer quels types de valeur et expressions de valeur déclenchent des violations et doivent être traitées dans les règles de relaxation.
Important
Le moteur d’apprentissage de Web App Firewall ne peut distinguer que les 128 premiers octets du nom. Si un formulaire comporte plusieurs champs dont les noms correspondent aux 128 premiers octets, le moteur d’apprentissage peut ne pas être en mesure de les distinguer. De même, la règle de relaxation déployée peut par inadvertance relâcher tous ces champs de l’inspection SQL Injection.
Remarque Pour contourner l’enregistrement SQL dans l’en-tête User-Agent, utilisez la règle de relaxation suivante :
bind appfw profile your_profile_name -SQLInjection User-Agent " .*" -location HEADER
Pour afficher ou utiliser les données apprises à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez l’une des commandes suivantes :
show appfw learningdata <profilename> SQLInjection
rm appfw learningdata <profilename> -SQLInjection <string> <formActionURL> [<location>] [<valueType> <valueExpression>]
export appfw learningdata <profilename> SQLInjection
Pour afficher ou utiliser les données apprises à l’aide de l’interface graphique
-
Accédez à Application Pare-feu > Profils, mettez en surbrillance le profil cible et cliquez sur Modifier.
-
Dans le volet Paramètres avancés, cliquez sur Règles apprises. Vous pouvez sélectionner l’entrée HTML SQL Injection dans le tableau Règles apprises et double-cliquer dessus pour accéder aux règles apprises. Vous pouvez déployer les règles apprises ou modifier une règle avant de la déployer en tant que règle de relaxation. Pour ignorer une règle, vous pouvez la sélectionner et cliquer sur le bouton Ignorer. Vous ne pouvez modifier qu’une seule règle à la fois, mais vous pouvez sélectionner plusieurs règles à déployer ou à ignorer.
Vous avez également la possibilité d’afficher une vue résumée des relaxations apprises en sélectionnant l’entrée HTML SQL Injection dans le tableau Règles apprises et en cliquant sur Visualizer pour obtenir une vue consolidée de toutes les violations apprises. Le visualiseur facilite la gestion des règles apprises. Il présente une vue complète des données sur un seul écran et facilite l’action sur un groupe de règles en un seul clic. Le plus grand avantage du visualiseur est qu’il recommande des expressions régulières pour consolider plusieurs règles. Vous pouvez sélectionner un sous-ensemble de ces règles, en fonction du délimiteur et de l’URL Action. Vous pouvez afficher 25, 50 ou 75 règles dans le visualiseur, en sélectionnant le nombre dans une liste déroulante. Le visualiseur des règles apprises offre la possibilité de modifier les règles et de les déployer en tant que relaxations. Ou vous pouvez ignorer les règles pour les ignorer.
Utilisation de la fonction de journal avec la vérification d’injection SQL
Lorsque l’action du journal est activée, les violations de vérification de sécurité HTML SQL Injection sont enregistrées dans le journal d’audit en tant que violations APPFW_SQL. Le Web App Firewall prend en charge les formats de journaux natifs et CEF. Vous pouvez également envoyer les journaux à un serveur syslog distant.
Pour accéder aux messages du journal à l’aide de la ligne de commande
Basculez vers le shell et recherchez les fichiers ns.logs dans le dossier /var/log/ pour accéder aux messages de journal relatifs aux violations SQL Injection :
> Shell
# tail -f /var/log/ns.log | grep APPFW_SQL
Exemple d’un message de journal HTML SQL Injection lorsque la requête est transformée
Jun 26 21:08:41 <local0.info> 10.217.31.98 CEF:0|Citrix|Citrix ADC|NS11.0|APPFW|APPFW_SQL|6|src=10.217.253.62 geolocation=Unknown spt=54001 method=GET request=http://aaron.stratum8.net/FFC/login.php?login_name=%27+or&passwd=and+%3B&drinking_pref=on&text_area=select+*+from+%5C+%3B&loginButton=ClickToLogin&as_sfid=AAAAAAXjnGN5gLH-hvhTOpIySEIqES7BjFRs5Mq0fwPp-3ZHDi5yWlRWByj0cVbMyy-Ens2vaaiULKOcUri4OD4kbXWwSY5s7I3QkDsrvIgCYMC9BMvBwY2wbNcSqCwk52lfE0k%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c msg= Special characters seen in fields cn1=74 cn2=762 cs1=pr_ffc cs2=PPE1 cs3=9ztIlf9p1H7p6Xtzn6NMygTv/QM0002 cs4=ALERT cs5=2015 act=transformed
Exemple d’un message de journal HTML SQL Injection lorsque la demande de publication est bloquée
Jun 26 21:30:34 <local0.info> 10.217.31.98 CEF:0|Citrix|Citrix ADC|NS11.0|APPFW|APPFW_SQL|6|src=10.217.253.62 geolocation=Unknown spt=9459 method=POST request=http://aaron.stratum8.net/FFC/login_post.php msg=SQL Keyword check failed for field text_area="(')" cn1=78 cn2=834 cs1=pr_ffc cs2=PPE1 cs3=eVJMMPtZ2XgylGrHjkx3rZLfBCI0002 cs4=ALERT cs5=2015 act=blocked
Remarque
Dans le cadre des changements de streaming dans la version 10.5.e (builds d’amélioration) et la version 11.0 ultérieure, nous traitons maintenant les données d’entrée en blocs. La correspondance de motifs RegEx est désormais limitée à 4K pour la correspondance de chaînes de caractères contiguës. Avec cette modification, les messages du journal des violations SQL peuvent inclure des informations différentes par rapport aux versions précédentes. Le mot clé et le caractère spécial de l’entrée peuvent être séparés par un grand nombre d’octets. Nous gardons maintenant une trace des mots-clés SQL et des chaînes spéciales lors du traitement des données, au lieu de mettre en mémoire tampon toute la valeur d’entrée. Outre le nom du champ, le message de journal inclut désormais le mot-clé SQL ou le caractère spécial SQL, ou à la fois le mot-clé SQL et le caractère spécial SQL, comme déterminé par le paramètre configuré. Le reste de l’entrée n’est plus inclus dans le message de journal, comme illustré dans l’exemple suivant :
Exemple :
Dans 10.5, lorsque le Web App Firewall détecte la violation SQL, la chaîne d’entrée entière peut être incluse dans le message de journal, comme indiqué ci-dessous :
SQL Keyword check failed for field text=\"select a name from testbed1;(;)\".*<blocked>
Dans les versions d’amélioration de 10.5.e qui prennent en charge le streaming côté demande ainsi que la version 11.0 ultérieure, nous enregistrons uniquement le nom du champ, le mot clé et le caractère spécial (le cas échéant) dans le message de journal, comme indiqué ci-dessous :
SQL Keyword check failed for field **text="select(;)" <blocked>
Cette modification s’applique aux demandes qui contiennent des types de contenu application/x-www-form-urlencoded, multipart/form-data ou text/x-gwt-rpc. Les messages de journal générés lors du traitement des charges utiles JSON ou XML ne sont pas affectés par cette modification.
Pour accéder aux messages du journal à l’aide de l’interface graphique
L’interface graphique Citrix inclut un outil utile (Syslog Viewer) pour analyser les messages du journal. Vous disposez de plusieurs options pour accéder à la visionneuse Syslog :
- Accédez au pare-feu des applications > Profils, sélectionnez le profil cible et cliquez sur Vérifications de sécurité. Mettez en surbrillance la ligne HTML SQL Injection et cliquez sur Journaux. Lorsque vous accédez aux journaux directement à partir de la vérification HTML SQL Injection du profil, l’interface graphique filtre les messages de journal et affiche uniquement les journaux relatifs à ces violations de vérification de sécurité.
- Vous pouvez également accéder à la visionneuse Syslog en accédant à Citrix ADC > Système > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris les autres journaux de violation de vérification de sécurité. Ceci est utile pour le débogage lorsque plusieurs violations de vérification de sécurité peuvent être déclenchées pendant le traitement de la demande.
- Accédez à Application Firewall > Stratégies > Audit. Dans la section Messages d’audit, cliquez sur le lien Messages Syslog pour afficher la visionneuse Syslog, qui affiche tous les messages de journal, y compris les autres journaux de violation de vérification de sécurité.
La visionneuse Syslog basée sur HTML fournit diverses options de filtre pour sélectionner uniquement les messages de journal qui vous intéressent. Pour sélectionner les messages de journal pour la vérification HTML SQL Injection, filtrez en sélectionnant APPFW dans les options déroulantes du module. La liste Type d’événement offre un ensemble complet d’options pour affiner votre sélection. Par exemple, si vous activez la case à cocher APPFW_SQL et cliquez sur le bouton Appliquer, seuls les messages de journal relatifs aux violations de vérification de sécurité SQL Injection apparaissent dans la visionneuse Syslog.
Si vous placez le curseur dans la ligne d’un message de journal spécifique, plusieurs options, telles que Module, Type d’événement, ID d’événement, adresse IP du client, etc. s’affichent sous le message de journal. Vous pouvez sélectionner l’une de ces options pour mettre en surbrillance les informations correspondantes dans le message de journal.
Cliquez sur pour Déployer la fonctionnalité est disponible uniquement dans l’interface graphique. Vous pouvez utiliser la visionneuse Syslog non seulement pour afficher les journaux, mais aussi pour déployer des règles de relaxation HTML SQL Injection basées sur les messages de journal pour les violations de vérification de sécurité du Web App Firewall. Les messages de journal doivent être au format de journal CEF pour cette opération. Cliquez pour déployer la fonctionnalité est disponible uniquement pour les messages de journal générés par l’action Bloquer (ou non bloquer). Vous ne pouvez pas déployer une règle de relaxation pour un message de journal concernant l’opération de transformation.
Pour déployer une règle de relaxation à partir de la visionneuse Syslog, sélectionnez le message de journal. Une case à cocher s’affiche dans le coin supérieur droit de la case Visionneuse Syslog de la ligne sélectionnée. Activez la case à cocher, puis sélectionnez une option dans la liste Action pour déployer la règle de relaxation. Modifier et déployer, déployeret déployer toutsont disponibles en tant qu’options Action.
Les règles d’injection SQL déployées à l’aide de l’option Cliquez pour déployer n’incluent pas les recommandations de relaxation du grain fin.
Pour utiliser la fonctionnalité Cliquez pour déployer dans l’interface graphique :
- Dans la visionneuse Syslog, sélectionnez Application Firewall dans les options du module.
- Sélectionnez APP_SQL comme type d’événement pour filtrer les messages de journal correspondants.
- Activez la case à cocher pour identifier la règle à déployer.
- Utilisez la liste déroulante d’options Action pour déployer la règle de relaxation.
- Vérifiez que la règle apparaît dans la section Règle de relaxation correspondante.
Statistiques pour les violations SQL Injection
Lorsque l’action des statistiques est activée, le compteur pour la vérification Injection SQL est incrémenté lorsque le Web App Firewall prend une action pour cette vérification de sécurité. Les statistiques sont collectées pour le taux et le nombre total pour le trafic, les violations et les journaux. La taille d’un incrément du compteur de journaux peut varier en fonction des paramètres configurés. Par exemple, si l’action de blocage est activée, la demande d’une page contenant 3 violations SQL Injection incrémente le compteur de statistiques d’un, car la page est bloquée dès que la première violation est détectée. Toutefois, si le bloc est désactivé, le traitement de la même demande incrémente le compteur de statistiques pour les violations et les journaux de trois, car chaque violation génère un message de journal distinct.
Pour afficher les statistiques de vérification SQL Injection à l’aide de la ligne de commande :
À l’invite de commandes, tapez :
statistiques sh appfw
Pour afficher les statistiques d’un profil spécifique, utilisez la commande suivante :
> stat appfw profile <profile name>
Pour afficher les statistiques HTML SQL Injection à l’aide de l’interface graphique
- Accédez à Système > Sécurité > Pare-feu d’application.
- Dans le volet droit, accédez au lien Statistiques.
- Utilisez la barre de défilement pour afficher les statistiques sur les violations HTML SQL Injection et les journaux. Le tableau des statistiques fournit des données en temps réel et est mis à jour toutes les 7 secondes.
Résumé
Notez les points suivants à propos de la vérification SQL Injection :
- Prise en charge intégrée de la protection par injection SQL : Citrix Web App Firewall protège contre l’injection SQL en surveillant une combinaison de mots clés SQL et de caractères spéciaux dans les paramètres du formulaire. Tous les mots-clés SQL, caractères spéciaux, caractères génériques et règles de transformation par défaut sont spécifiés dans le fichier /netscaler/default_custom_settings.xml.
- Personnalisation : vous pouvez modifier les mots clés par défaut, les caractères spéciaux, les caractères génériques et les règles de transformation pour personnaliser l’inspection de vérification de sécurité SQL en fonction des besoins spécifiques de votre application. Effectuez une copie de l’objet signature par défaut, modifiez les entrées existantes ou ajoutez de nouvelles entrées. Liez cet objet signature à votre profil pour utiliser la configuration personnalisée.
- Modèle de sécurité hybride : les signatures et les protections de sécurité profondes utilisent les modèles de script SQL/cross-site spécifiés dans l’objet signature lié au profil. Si aucun objet de signature n’est lié au profil, les modèles de script SQL/cross-site présents dans l’objet signature par défaut sont utilisés.
-
Transform—Notez ce qui suit à propos de l’opération de transformation :
- L’opération de transformation fonctionne indépendamment des autres paramètres d’action SQL Injection. Si la transformation est activée et que le bloc, le journal, les statistiques et l’apprentissage sont tous désactivés, les caractères spéciaux SQL seront transformés.
- Lorsque la transformation SQL est activée, les requêtes utilisateur sont envoyées aux serveurs backend après la transformation des caractères spéciaux SQL en mode non-bloc. Si l’action de blocage est activée, elle a priorité sur l’action de transformation. Si le type d’injection est spécifié comme caractère spécial SQL et que le bloc est activé, la requête est bloquée malgré l’action de transformation.
- Relaxation fine et apprentissage : affinez la règle de relaxation pour détendre un sous-ensemble d’éléments SQL de l’inspection par vérification de sécurité, mais détectez le reste. Le moteur d’apprentissage recommande un type de valeur spécifique et des expressions de valeur basées sur les données observées.
- Cliquez pour déployer : sélectionnez un ou plusieurs messages de journal des violations SQL dans la visionneuse syslog et déployez-les en tant que règles de relaxation.
Partager
Partager
Dans cet article
- SQL Relaxations à grain fin
- Utilisation de la ligne de commande pour configurer la vérification d’injection SQL
- Utilisation de l’interface graphique pour configurer la vérification de sécurité SQL Injection
- Utilisation de la fonctionnalité d’apprentissage avec la vérification d’injection SQL
- Utilisation de la fonction de journal avec la vérification d’injection SQL
- Statistiques pour les violations SQL Injection
- Résumé
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.