HTML命令注入保护检查
这超文本标记语言命令注入检查检查传入的流量中是否存在违反系统安全或修改系统的未授权命令。如果检测到流量有任何恶意命令,设备将阻塞请求或执行配置的操作。
Citrix Web应用程序防火墙配置文件现在增强了新的命令注入攻击安全检查。当命令注入安全检查检查流量并检测到任何恶意命令时,设备会阻止请求或执行配置的动作。
在命令注入攻击中,攻击者的目标是在Citrix ADC操作系统上运行未经授权的命令。为了达到这个目的,攻击者使用一个易受攻击的应用程序注入操作系统命令。如果应用程序将任何不安全的数据(表单、cookie或头)传递给系统shell,那么Citrix ADC设备很容易受到注入攻击。
命令注入保护是如何工作的
对于传入的请求,WAF检查关键字或特殊字符的流量。如果传入请求没有匹配任何拒绝关键字或特殊字符的模式,则允许该请求。否则,根据配置的操作,该请求被阻止,丢弃或重定向。
- 如果您希望将某个关键字或特殊字符从列表中豁免,可以应用松弛规则在特定条件下绕过安全检查。
- 您可以启用日志记录以生成日志消息。您可以监视日志以确定对合法请求的响应是否已被阻止。日志消息数量大幅增加可以指示启动攻击的尝试。
- 您还可以启用统计特性来收集关于违规和日志的统计数据。统计计数器的意外激增可能表明您的应用程序受到攻击。如果合法的请求被阻止,您可能必须重新访问配置,看看是否必须配置新的放松规则或修改现有的规则。
命令注入检查的关键字和特殊字符被拒绝
为了检测和阻止命令注入攻击,该设备在默认签名文件中定义了一组模式(关键字和特殊字符)。下面是在命令注入检测过程中被阻止的关键字列表。
7z 7za 7zr … 7z <——NeedCopy >签名文件中定义的特殊字符是:|;&$> <'!>>#
使用CLI配置命令注入检查
在命令行界面中,可以使用set the profile命令或add the profile命令配置命令注入配置。您可以启用阻断、日志和统计动作。您还必须设置希望在有效负载中检测的关键字和字符串字符。
在命令提示符处,输入:
set appfw profile
注意:
默认情况下,命令注入操作设置为“无”。此外,默认命令注入类型设置为
cmdsplarandkeyword..
例子:
设置appfw配置文件profile1 -cmdin'traintion块-cmdin'tineptype cmdsplchar
其中,可用的命令注入操作有:
- 无-禁用命令注入保护。
- 日志 - 日志命令注入安全检查的违规。
- 块 - 阻止违反命令注入安全检查的流量。
- Stats -生成命令注入安全违规的统计信息。
其中,可用的命令注入类型有:
- Cmd SplChar。检查特殊字符
- cmdkeyword。检查命令注入关键词
- cmdsplarandkeyword。检查特殊字符和命令注入。仅当两个都存在时关键字和块。
- CmdSplCharORKeyWord。检查特殊字符和命令注入关键字和块,如果发现其中之一。
配置命令注入保护检查的松弛规则
如果应用程序要求绕过有效负载中特定ELEMENT或ATTRIBUTE的命令注入检查,则可以配置松弛规则。
命令注入检查规则具有以下语法:
绑定appfw profile
标题中正则表达式的松弛规则示例
绑定appfw profile sample -CMDInjection hdr "http://10.10.10.10/" -location heaDER -valueType关键字'[a-z]+grep' -isvalueRegex REGEX
因此,注入豁免了命令注入检查允许标头hdr包含“grep”的变体。
例如在cookie中valueType为正则表达式的放松规则
bind appfw profile sample -CMDInjection ck_login "http://10.10.10.10/" -location cookie -valueType关键字'pkg[a-z]+' -isvalueRegex REGEX . txt
使用Citrix ADC GUI配置命令注入检查
完成以下步骤以配置命令注入检查。
- 导航到安全> Citrix Web应用程序防火墙和配置文件.
- 在概要文件页面,选择配置文件并单击编辑.
- 在Citrix Web应用防火墙配置文件佩奇,去高级设置部分并单击安全检查.
- 在安全检查部分中,选择HTML命令注入并点击行动设置。
在HTML命令注入设置第页,设置以下参数:
- 行动。为命令注入安全检查选择一个或多个操作。
- 检查包含的请求。选择命令注入模式以检查传入请求是否具有该模式。
- 点击好吧.
通过使用GUI查看或定制命令注入模式
您可以使用GUI查看或自定义超文本标记语言命令注射模式。
默认命令注入模式在默认签名文件中指定。如果未将任何签名对象绑定到配置文件中,则默认签名对象中指定的默认HTML命令注入模式将由用于命令注入安全检查处理的配置文件使用。默认签名对象中指定的规则和模式是只读的。您无法编辑或修改它们。如果要修改或更改这些模式,请制作默认SSignatures对象的副本以创建用户定义的签名对象。在新用户定义的签名对象中进行命令注入模式的更改,并在您的配置文件中使用此签名对象正在处理要使用这些自定义模式的流量。
有关更多信息,请参见签收
使用GUI查看默认的命令注入模式:
- 导航到应用防火墙>签名中,选择*默认签名,然后点击编辑.
- 点击管理CMD / SQL / XSS模式.这CMD/SQL/XSS路径(只读)表显示了与之相关的模式
CMD / SQL / XSS注:
- 选择一行,单击管理元素显示Web App Firewall命令注入检查使用的相应的命令注入模式(关键字、特殊字符串、转换规则或通配符)。
通过使用GUI定制命令注入模式
您可以编辑用户定义的签名对象以自定义指令关键字、特殊字符串和通配符。您可以添加新条目或删除现有条目。可以修改命令注入特殊字符串的转换规则。
- 导航到应用程序防火墙>签名,选中目标自定义签名,单击添加. 点击管理CMD / SQL / XSS模式.
- 在管理CMD / SQL / XSS路径页,选择目标CMD注入行。
点击管理元素那添加,或去除命令注入元素。
警告:
在删除或修改任何默认命令注入元素,或删除CMD路径以删除整行之前,必须小心。签名规则和命令注入安全检查依赖于这些元素来检测命令注入攻击以保护应用程序。如果在编辑过程中删除了所需的模式,自定义SQL模式会使应用程序容易受到命令注入攻击。
查看命令注射流量和违规统计
这Citrix Web App防火墙统计页面以表格或图形格式显示安全流量和安全违规的详细信息。
使用命令界面查看安全统计信息。
在命令提示符处,输入:
Stat appfw profile profile1
| Appfw配置文件流量统计 | 速率(/s) | 总计 |
|---|---|---|
| 请求 | 0. | 0. |
| 请求字节 | 0. | 0. |
| 反应 | 0. | 0. |
| 响应字节 | 0. | 0. |
| 中止 | 0. | 0. |
| 重定向 | 0. | 0. |
| 长期街道回应时间(毫秒) | - | 0. |
| 最近的AVE响应时间(MS) | - | 0. |
| HTML / XML / JSON违反统计数据 | 速率(/s) | 总计 |
|---|---|---|
| 启动网址 | 0. | 0. |
| 否认网址 | 0. | 0. |
| 引用页头 | 0. | 0. |
| 缓冲区溢出 | 0. | 0. |
| 饼干的一致性 | 0. | 0. |
| 曲奇劫持 | 0. | 0. |
| 表格标签 | 0. | 0. |
| HTML跨站点脚本编制 | 0. | 0. |
| HTML SQL注入 | 0. | 0. |
| 字段格式 | 0. | 0. |
| 字段一致性 | 0. | 0. |
| 信用卡 | 0. | 0. |
| 安全对象 | 0. | 0. |
| 签名侵犯 | 0. | 0. |
| 内容类型 | 0. | 0. |
| JSON拒绝服务 | 0. | 0. |
| JSON SQL注入 | 0. | 0. |
| JSON跨站点脚本编制 | 0. | 0. |
| 文件上传类型 | 0. | 0. |
| 推断内容类型XML有效负载 | 0. | 0. |
| HTML命令注入 | 0. | 0. |
| XML格式 | 0. | 0. |
| XML拒绝服务(XDoS) | 0. | 0. |
| XML消息验证 | 0. | 0. |
| Web服务互操作性 | 0. | 0. |
| XML SQL注入 | 0. | 0. |
| XML跨站点脚本 | 0. | 0. |
| XML附件 | 0. | 0. |
| 肥皂断层违规 | 0. | 0. |
| XML通用违规 | 0. | 0. |
| 完全违反 | 0. | 0. |
| HTML/XML/JSON日志统计信息 | 速率(/s) | 总计 |
|---|---|---|
| 启动URL日志 | 0. | 0. |
| 拒绝URL日志 | 0. | 0. |
| 引用头日志 | 0. | 0. |
| 缓冲区溢出日志 | 0. | 0. |
| 饼干一致性日志 | 0. | 0. |
| Cookie劫持日志 | 0. | 0. |
| 标签日志中的CSRF | 0. | 0. |
| HTML跨站点脚本日志 | 0. | 0. |
| HTML跨站点脚本转换日志 | 0. | 0. |
| HTML SQL注入日志 | 0. | 0. |
| HTML SQL转换日志 | 0. | 0. |
| 现场格式日志 | 0. | 0. |
| 场一致性日志 | 0. | 0. |
| 信用卡 | 0. | 0. |
| 信用卡转换日志 | 0. | 0. |
| 安全对象日志 | 0. | 0. |
| 签名的日志 | 0. | 0. |
| 内容类型日志 | 0. | 0. |
| JSON拒绝服务日志 | 0. | 0. |
| JSON SQL注入日志 | 0. | 0. |
| JSON跨站脚本日志 | 0. | 0. |
| 文件上载类型日志 | 0. | 0. |
| 推断内容类型XML有效负载 | 0. | 0. |
| 命令注入日志 | 0. | 0. |
| XML格式的日志 | 0. | 0. |
| XML拒绝服务(XDoS)日志 | 0. | 0. |
| XML消息验证日志 | 0. | 0. |
| WSI日志 | 0. | 0. |
| XML SQL注入日志 | 0. | 0. |
| XML跨站点脚本日志 | 0. | 0. |
| XML附件日志 | 0. | 0. |
| SOAP故障日志 | 0. | 0. |
| XML通用日志 | 0. | 0. |
| 总日志消息 | 0. | 0. |
| 服务器错误响应统计速率(/ s)>总计 | ||
|---|---|---|
| HTTP客户端错误(4xx响应) | 0. | 0. |
| HTTP服务器错误(5xx响应) | 0. | 0. |
使用Citrix ADC GUI查看HTML命令注入统计信息
完成以下步骤以查看命令注入统计信息:
- 导航到安全> Citrix Web App防火墙>配置文件.
- 在详细信息窗格中,选择Web App Firewall配置文件,单击统计数据.
- 这Citrix Web App防火墙统计页面显示HTML命令注入流量和违规细节。
- 您可以选择表格视图或者切换到图形视图以表格或图形格式显示数据。
HTML命令注入流量统计
HTML命令注入违规统计信息
