Protección contra el secuestro de cookies
La protección contra el secure eststro de cookies mitga los ataques de robo de cookies de los黑客。有了这个网站,就有了这个网站的货物sesión有了这个网站,就有了这个网站aplicación。cudo un usuario navega por un site web, por ejemplo, una aplicación bancaria, el site web establesuna sesión con el explorador。杜兰特·拉sesión,拉aplicación常用物品的详细记录,网址sesión,网址página, cookie档案。El archiivcookie se envía a continuación al explorador del client en la respuesta。我的探险之旅。El atacante puede robar estas饼干手工desde El almacén de cookie del explorador o a través de alguna extensión no autorizada del explorador。一个continuación, el atacante利用率estas cookie,网址:aplicación web del usuario。
Citrix ADC Web App Firewall (WAF) desafía la conexión TLS del client junto con la validación de consistencia de cookies WAF。为客户提供新服务,为客户提供服务conexión TLS y también为客户提供饼干aplicación y sesión为客户提供服务。我的意思是我的意思有一个巧合的饼干aplicación y的饼干sesión罗巴达斯德拉víctima,这产生了一个错误在la validación de la连贯的饼干y se aplica la acción de安全的饼干配置。Para obtener más información sobre la coherencia de cookie,咨询el temaComprobación de coherencia de cookies.
注:
La función de secuestro de cookies admite el registro y las trampas SNMP。Para obtener más información acerca del registro, vea el tema ADM y Para obtener más información acerca de la configuración SNMP, vea el tema SNMP。
Limitaciones
- JavaScript debe estar habilitado en el explorador del client。
- La protección de secuestro de cookies no es compatible con TLS versión 1.3。
- Internet Explorer (IE)浏览器没有SSL。结果envían各种重定向的人,在关心的情况下,最终会引起错误“最大重定向超过”的探险家IE。
Cómo funciona la protección contra el secure stro de cookies
这是我们的秘密cómo我们的功能protección这是我们的饼干的秘密。
Caso 1:通常的访问访问la primera página web sin cookie de sesión
- 我的意思是我的名字aplicación我的名字是我的名字página我的名字是我的名字sesión我的名字是我的名字。
- sesión应用程序防火墙保护cookie sesión。
Esto inicia una conexión TLS para la sesión。我们的JavaScript不存在envía我的浏览器不存在客户端,我们的配置不存在conexión我的JavaScript不存在ningún desafío。
注:
包括一个不知道如何处理这些饼干的信息aplicación desde una víctima为了处理这些饼干的信息sesión,这个解决问题的办法就是处理这些饼干的问题aplicación我关心的是如何处理这些饼干的信息。仆人的后端考虑的关怀的罪宁纳饼干的aplicación有必要的según su configuración。
- 我们的后台是envía una respuesta,我们的后台是reenvía con un token de sesión de JavaScript y una cookie ininial。一个continuación, el positivo marca la conexión TLS como verificada。
- 我是一个探索者,我是一个探索者,我是一个探索者,我是一个探索者,我是一个cookie,我是一个cookie,我是一个token,我是sesión,我是一个cookie,我是一个semilla。
- 常做的事envía你关心我的后嗣través de la conexión TLS,我的安排是validación de cookie transformada。Esto se debe a que la conexión TLS ya está validada。
Caso 2: El usuario加入一个páginas web sucesivas一个través de una nueva conexión TLS con cookie de sesión
- envía una solicitud HTTP para páginas sucesivas a través de una nueva conexión TLS, el explorador envía el ID de cookie de sesión y el ID de cookie transformado。
- 我们的新家园conexión TLS,我们的新家园conexión TLS desafía我们的新家园redirección我们的新家园。
- 我的客人,我的ADC,我的饼干,我的饼干,我的饼干sesión我的新饼干,我的饼干。
- A continuación, el client envía esta cookie transformada recién calculada junto con un ID de sesión。
- 我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干,我的饼干
- 我的小甜饼,我的小甜饼,我的小甜饼,我的小甜饼,我的小甜饼,我的小甜饼,我的小甜饼。Después de lo cual, el dispositivo envía el desafío al client, para enar una cookie de transformación adecuada。
卡索3:Atacante suplantación como usuario no autenticado
- 网址:aplicación网站,网址网址:técnicas网址:
- 新城堡的城堡conexión TLS del atacante, el ADC envía un desafío de redirección新城堡的城堡。
- 我知道我知道你的名字ejecución,我知道你的名字,我知道你的名字。
- validación de cookie en el lado del dispositivo ADC。El dispositivo vuelve a envy un desafío de redirección al client。
- Si el número de intentos de validación de cookies转化为超级的límite de本相,el配置marca el estado como secure eststro de cookies。
- 我的意思是,我的意思是,有一个巧合的饼干,aplicación,有一个饼干,sesión,罗巴达斯,víctima, comprobación,有一个连贯的,有一个饼干,有一个配置,acción,有一个安全的,有饼干配置。
卡索4:Atacante suplantación como usuario autenticado
- 我们的网址是:también我们的网址是:aplicación我们的网址是:我们的网址是:víctima我们的网址是:sesión网址。
- El dispositivo ADC también我们发现了一群不为人知的人。我的阿塔卡用的是conexión TLS的一个复制的饼干víctima,一个配置的ADC的一个复制的饼干的饼干sesión y的饼干的aplicación的一个关心的儿子凝聚。我的意志,我的意志,我的意志,我的意志,我的意志,我的意志,我的意志,我的意志,我的意志。我们有一种叫"爱的延续"的饼干sesión,一种叫"爱的延续"的饼干aplicación,一种叫" víctima,一种叫" validación,一种"连贯",一种叫"饼干法拉"的。
- 我的结果是,我的任务是acción cookie配置的安全。Si la acción配置建立了一个“集团”,这个配置消除了一个饼干aplicación y envía关心的仆人后端。
- 我的后端工作是在aplicación y,我们的工作是在aplicación y,我们的工作是在aplicación y,我们的工作是在aplicación y。
在命令行中配置cookie
我们的防火墙aplicación específico我们的防火墙más我们的cookie安全。
En el símbolo del sistema, escriba:
set appfw profile
注:
De forma predeterminada, la acción se established en“none”。
比如:
设置appfw profile profile1 - cookieHijackingAction Block
Donde los tipos de acción儿子:
Bloquear conexiones que infrinjan esta comprobación de seguridad。注册商:西班牙的法语注册商comprobación seguridad。Estadísticas:将军estadísticas para esta comprobación de seguridad。宁奴:居民todas las acciones de esta comprobación de seguridad。
Citrix ADC
- Vaya一Seguridad > Citrix Web App Firewall > Perfiles.
- En la paginaPerfiles,选择的,选择的Modificar.
En la paginaPerfil de Citrix Web应用防火墙, vaya a la secciónConfiguracion avanzadaY haga clic enComprobaciones de seguridad.
- En la seccionComprobaciones de seguridad, seleccioneSecuestro de饼干y, a continuación, haga clic en Configuración deaccion.
- En la paginaConfiguración de secuestro de cookies, seleccione una o más acciones para evitar el secueststro de cookies。
哈加按在Aceptar.
阿格加,那regla, de relajación para, la, validación,饼干的一致性中间,la, GUI, Citrix ADC
Para manejar falsos posivos en la validación de consistencia de cookies, puede agregar una regla de relajación Para las cookies que pueden quedar exentas de la validación de cookies。
- Vaya一Seguridad > Citrix Web App Firewall > Perfiles.
- En la paginaPerfiles,选择的,选择的Modificar.
- En la paginaPerfil de Citrix Web应用防火墙, vaya a la secciónConfiguracion avanzadaY haga clic enReglas de relajacion.
En la seccionReglas de relajacion, seleccioneConsistencia de饼干Y haga clic enAccion.
- En la paginaRegla de relajación de coherencia de cookies,网址:establlezca los siguientes parámetros。
- Habilitada。relajación。
- Es el nombre de cookie正则表达式。选择我的名字,我的饼干,我的饼干expresión规则。
- Nombre de la cookie。饼干介绍validación饼干。
- 编辑de表达式规则。Haga clic en esta opción para cicionar los detalles de la expresión规则。
- Comentarios。Una breve descripción de la cookie。
- 哈加按在Crearycerrar.
Ver estadísticas de tráfico de cookie y violaciones mediante la CLI
我们的小细节tráfico我们的小信息我们的小信息gráfico。
Para ver estadísticas de seguridad:
En el símbolo del sistema, escriba:
统计appfw配置文件profile1
| Appfw perfil Estadísticas de tráfico | Tasa (s) | 总计 |
|---|---|---|
| 关怀 | 0 | 0 |
| 字节de solicitud | 0 | 0 |
| Respuestas | 0 | 0 |
| 字节de respuesta | 0 | 0 |
| Aborta | 0 | 0 |
| Redirecciona | 0 | 0 |
| 大广场(ms) | - - - - - - | 0 |
| Tiempo de respuesta reciente大街(ms) | - - - - - - | 0 |
| Estadísticas de violaciones HTML/XML/JSON | Tasa (s) | 总计 |
|---|---|---|
| URL de inicio | 0 | 0 |
| Denegar URL | 0 | 0 |
| Encabezado de referencia | 0 | 0 |
| Desbordamiento de缓冲区 | 0 | 0 |
| Consistencia de饼干 | 0 | 0 |
| Secuestro de饼干 | 0 | 0 |
| 公式礼仪 | 0 | 0 |
| 编写HTML入口站点脚本 | 0 | 0 |
| Inyeccion HTML SQL | 0 | 0 |
| Formato德坎波 | 0 | 0 |
| Consistencia德坎波 | 0 | 0 |
| Tarjeta停职 | 0 | 0 |
| Objeto原本准备 | 0 | 0 |
| Violaciones de firma | 0 | 0 |
| 蒂波德contenido | 0 | 0 |
| JSON Denegación de Servicio . JSON | 0 | 0 |
| Inyeccion JSON SQL | 0 | 0 |
| 脚本JSON入口站点 | 0 | 0 |
| Tipos de carga de archivos | 0 | 0 |
| carga的诱导útil XML del tipo de contenido | 0 | 0 |
| Inyeccion HTML CMD | 0 | 0 |
| Formato XML | 0 | 0 |
| Denegación de servicio XML (XDoS) | 0 | 0 |
| Validación de mensajes XML | 0 | 0 |
| 互操作性服务网络 | 0 | 0 |
| Inyeccion XML SQL | 0 | 0 |
| 编写XML入口站点脚本 | 0 | 0 |
| 拿督adjuntos XML | 0 | 0 |
| Violaciones de errors SOAP | 0 | 0 |
| 违规genéricas de XML | 0 | 0 |
| 总de violaciones | 0 | 0 |
| Estadísticas de registro HTML/XML/JSON | Tasa (s) | 总计 |
|---|---|---|
| 注册网址 | 0 | 0 |
| Denegar registros de URL | 0 | 0 |
| 参考登记局 | 0 | 0 |
| desbordamiento de | 0 | 0 |
| desbordamiento de | 0 | 0 |
| 饼干的连贯性 | 0 | 0 |
| 饼干安全登记处 | 0 | 0 |
| CSRF的礼仪登记处 | 0 | 0 |
| 注册码HTML | 0 | 0 |
| Registros de transformación de脚本多站点HTML | 0 | 0 |
| registro de inyección HTML SQL | 0 | 0 |
| registro de transformación HTML SQL | 0 | 0 |
| campo的格式登记 | 0 | 0 |
| 在坎波的连贯性登记处 | 0 | 0 |
| Tarjetas停职 | 0 | 0 |
| 登记处transformación de tarjetas de crédito | 0 | 0 |
| 对象的登记 | 0 | 0 |
| Registros de firma | 0 | 0 |
| 泰尔尼多的tipo de contenido登记处 | 0 | 0 |
| Registros de denegación de servicio JSON | 0 | 0 |
| Registros de inyección JSON SQL | 0 | 0 |
| 注册去脚本入口站点JSON | 0 | 0 |
| Tipos de carga de archivos register | 0 | 0 |
| XML Carga诱导剂útil L | 0 | 0 |
| Registros de inyección de comandos HTML | 0 | 0 |
| XML格式注册表 | 0 | 0 |
| Registros XML de denegación de servicio (XDoS) | 0 | 0 |
| registry de validación de mensajes XML | 0 | 0 |
| Registros WSI公司 | 0 | 0 |
| registro de inyección XML SQL | 0 | 0 |
| XML的注册表 | 0 | 0 |
| 数据注册附加XML | 0 | 0 |
| Registros de errors SOAP | 0 | 0 |
| Registros genericos XML | 0 | 0 |
| 全部登记 | 0 | 0 |
| Estadísticas在工作中遇到的错误 | Tasa (s) | 总计 |
|---|---|---|
| 客户端HTTP错误(4xx Resp) | 0 | 0 |
| HTTP服务端错误 | 0 | 0 |
Ver estadísticas de tráfico de安全的饼干和违法的中间人la interfaz gráfica de usuario
- Vaya一Seguridad > Citrix Web App Firewall > Perfiles.
- 详细的细节,详细的选择Web应用防火墙Y haga clic enEstadisticas.
- La paginaEstadísticas de Citrix Web应用程序防火墙秘密的秘密tráfico安全的饼干和la infracción。
- 喝水可以seleccionarVista的表格o的另一个Vista提供翻译对数据的格式表gráfico。
在埃斯特危象
- Limitaciones
- Cómo funciona la protección contra el secure stro de cookies
- 在命令行中配置cookie
- Citrix ADC
- 阿格加,那regla, de relajación para, la, validación,饼干的一致性中间,la, GUI, Citrix ADC
- Ver estadísticas de tráfico de cookie y violaciones mediante la CLI
- Ver estadísticas de tráfico de安全的饼干和违法的中间人la interfaz gráfica de usuario