Vérification des脚本跨站点XML

La vérification XML跨站点脚本检查，éventuelles攻击脚本跨站点脚本。S 'il détecte une attack de script intersite possible, il bloque la demand。

Pour éviter l 'utilisation des scripts sur vos services Web protégés afin d 'enfreindre la sécurité de vos services Web, la vérification XML跨站点脚本blocque les scripts qui enfreignent la même règle d 'origine, qui inque que les scripts ne doivent ni accéder ni modifier du contenu sur un server, sauf le server sur lequel ils se trouvent。Tout script qui enfreint la même règle d 'origine est appelé script intersite, et la pratique consistant à utiliser des scripts pour accéder ou modifier du contentu sur un autre server est appelée script intersite。La raison pour laquelle le script跨站点的est un problème de sécurité est qu 'un server Web qui autorise le script跨站点的peut être attaqué avec un script qui ne se trouve pas sur ce server Web, mai is sur un autre server Web, tel qu 'un server détenu et contrôlé par 'attaquant。

Le Web应用防火墙提供多种选项d 'action pour implémenter la保护XML跨站脚本。Vous avez la possibilité de configurer les actionsBloquer，日志等统计数据．

La vérification des脚本跨站点XML du Web应用防火墙est effectuée sur La charge utitile des demand entrantes et les chaînes d 'attaque sont identifiées même si elles sont réparties sur plusieurs lignes。La vérification recherche les chaînes d ' attaque de script inter-site dans l '元素价值观d 'attribut．Vous pouvez appliquer des松弛pour轮廓线l 'inspection de contrôle de sécurité dans des conditions spécifiées。法国统计日志à法国统计日志nécessaires。

La section CDATA de La charge实用XML peut être un domain d 'intérêt intéressant pour les pirates car les scripts ne sont pas exécutables en dehors de La section CDATA。Une section CDATA est utilisée pour le contu qui doit être traité entièrement comme des données de caractère。Les délimiteurs de balise HTML标志<，>等/>n 'entraîneront pas l 'analyseur à interpréter le code comme des éléments HTML。L ' example suivant montre une section CDATA avec une chaîne攻击脚本站点间:

<！[CDATA[rn rn]]> 

选择d 'action

Une action est appliquée lorsque la vérification de脚本跨站点XML détecte Une attack de脚本跨站点dans la requête。Les options suivantes sont disponibles pour optimiser la protection XML跨站点脚本程序:

• Bloquer-L 'action de blocage est déclenchée si les balises de script inter-sites sont détectées dans la requête。
• 日志-Générer des messages de journal indiquant les actions effectuées par la vérification de脚本跨站点XML。Si le bloc est désactivé， un message de journal distinct est généré pour chque emplacement (ELEMENT, ATTRIBUTE) dans leel la violation de script intersite est détectée。Toutefois, un seul message est généré lorsque la demande est bloquée。Vous pouvez surveiller les journaux pour déterminer si les réponses aux demands légitimes sont bloquées。增强力量，增强力量，增强力量，增强攻击能力。
• 的:收集有关违法和新闻的统计资料。统计计算机在选举应用方面的增强attaquée。我的要求légitimes sont bloquées，你的devrez peut-être重新配置为你的新配置règles放松和修改单元的存在。

Règles de放松

Si votre application exige que vous contourniez la vérification de script inter-site pour un ELEMENT ou un ATTRIBUTE spécifique dans la charge utitile XML, vous pouvez configururer une règle de relaxation。Les règles de relax de vérification de script跨站点XML ont Les paramètres suivants:

• 的名字-Vous pouvez utiliser des chaînes littérales ou des expressions régulières pour configurer le nom de l 'ELEMENT ou de l ' attribute。不涉及元素的表达式commençant para la chaîne name_ suivie d 'une chaîne大的和小的字母，小的和小的，二的和五的字母caractères:

  ^ name_ [0-9A-Za-z] {2, 15} $

标记

Les names sont sensibles à la casse。Les entrées en double ne sont pas autorisées, mais vous pouiser la majuscule de names et des différences d ' placement pour créer des entrées similaires。例如，chacune des règles de relaxation suivantes est unique:

1. xml跨站脚本:ABC IsRegex: NOTREGEX位置:ATTRIBUTE状态:ENABLED

2. xml跨站脚本:ABC IsRegex: NOTREGEX位置:元素状态:ENABLED

3. xml跨站脚本:abc IsRegex: NOTREGEX位置:元素状态:ENABLED

4. xml跨站脚本:abc IsRegex: NOTREGEX位置:ATTRIBUTE状态:ENABLED

• 侵位: vous pouvez spécifier l 'emplacement de l 'exception Vérification de script inter-site dans votre charge utility XML。L 'option ELEMENT est sélectionnée par défaut。Vous pouvez le modifier en ATTRIBUTE。
• Commentaire-Il s 'agit d 'un champ faculty。Vous pouvez utiliser une chaîne de 255 caractères最大倒décrire l ' objective de cette règle de放松。

Avertissement

Les表达式régulières sont puissantes。Surtout si vous n ' êtes pas familier avec les expressions régulières au format PCRE, vérifiez les expressions régulières que vous écrivez。保证你的工作définissent完全的你的名字，你的工作，和你的工作。使用négligente des表达式régulières peut avoir des résultats你能想到的方法，能想到的方法'accès内容网页你能想到的方法你能想到的方法自动实现的方法攻击方法vérification脚本跨站点XML方法bloquée。

使用de la ligne de command pour configurer la vérification XML跨站点脚本

倒配置des actions de vérification de脚本跨站点XML et d ' aures paramètres à l 'aide de la ligne de命令

Si vous utilisez l 'interface de ligne de command, vous pouvez entrer les commandes suivantes pour configurer la vérification de script跨站点XML:

> set appfw profile -XMLcross-site scriptingAction (([block] [log] [stats]) | [none])

倒配置une règle de relax XML跨站点脚本，vérifiez à l 'aide de la ligne de command

Vous pouvez ajouter des règles de松弛pour轮廓线检查de l 'inspection d ' attack par script中间部位的位置spécifique。Utilisez la command bind ou unbind pour ajouter ou supplier la liaison de règle de relaxation, comme suit:

>绑定appfw配置文件 - xml跨站脚本 [isRegex (REGEX | NOTREGEX)] [-location (ELEMENT | ATTRIBUTE)] -comment [-state (ENABLED | DISABLED)]

> unbind appfw profile -XMLcross-site scripting . xml

为例：

>绑定appfw profile test_pr - xml跨站脚本ABC

Après l 'exécution de la command ci-dessus, la règle de relaxation suivante est configurée。La règle est activée, le nom est traité comme un littéral (NOTREGEX)， et ELEMENT est sélectionné comme emplacement par défaut:

1) xml跨站脚本:ABC IsRegex: NOTREGEX位置:ELEMENT状态:ENABLED ' > unbind appfw profile test_pr - xml跨站脚本ABC '错误:没有这样的xml跨站脚本检查' > unbind appfw profile test_pr - xml跨站脚本ABC '完成

使用de l 'interface graphique pour configurer la vérification de script跨站点XML

Dans l 'interface graphhique, vous pouvez configurer la vérification de脚本跨站点XML Dans le volet pour le profile associé à votre应用程序。

倒配置器ou修改器la vérification XML跨站点脚本à l 'aide de l 'interface graphique

1. Accedez一Web应用防火墙>的资料，在我的注视下，我的轮廓，我的心灵修饰符．
2. dan le volet Paramètres avancés, cliquez surContrôles de sécurité．

La table de vérification de sécurité affiche les paramètres d 'action actuellement configurés pour tous les contrôles de sécurité。Vous avez 2选项配置:

a) Si vous souhaitez simplement activer ou désactiver les actionsBloquer，日志等统计数据倒拉vérification de脚本跨站点XML， vous pouvez activer ou désactiver les cases à cocher dans le tableau, cliquez sur好吧，在法国，法国，法国，法国，法国sécurité Volet à cocher。

b) Vous pouvez double cliquer surXML跨站脚本， ou sélectionner la ligne et cliquer sur产品的d 'action，倒afficher les options d 'action。Après avoir modifié l 'un des paramètres d 'action, cliquez sur好吧倒登记les修改et revenir au tableau Vérifications de sécurité。

Vous pouvez procéder à la configuration d ' aures vérifications de sécurité si nécessaire。双击苏尔好吧pour enregister tout les修改que vous avez apportées dans la section Contrôles de sécurité， puis cliquez surenregisterr et fermer倒fermerLe volet de vérification de la sécurité。

倒配置une règle de relax XML跨站点脚本à l 'aide de l 'interface graphique

1. Accedez一Web应用防火墙>的资料，在我的注视下，我的轮廓，我的心灵修饰符．
2. Dans le volet产品的皇冠， cliquez surRègles de放松．
3. Dans le tableau Règles de relaxation, double cliquez sur l 'entréeXML跨站脚本， ou sélectionnez-la et cliquez sur修饰符．
4. Dans la boîte de对话Règles de relax de script跨站点XML，有效的les opérationsAjouter，修饰符，Supprimer，更主动欧Desactiver倒les règles de放松。

倒gérer les règles de弛豫XML跨站脚本à l 'aide du visualiseur

倾其所能consolidée de toutes les règles de relaxation, vous pouvez mettre en surbrance la ligneXML跨站脚本dans le tableau Règles de relaxation, puis cliquer surVisualiseur．Le visualiseur pour les relaxation déployées vous offre la possibilité d 'ajouterUne nouvelle règle ou de修饰符Une règle existante。Vous pouvez également更主动欧desactiver联合国小组règles en sélectionnant联合国巴黎和巴黎边界的党团通讯员放松的视觉。

Pour afficher ou personaliser les modèles de script inter-site à l 'aide de l 'interface graphique

Vous pouvez utiliser l 'interface graphique pour afficher ou personaliser la liste par défaut des属性autorisés de script intersite ou des balises autorisées。Vous pouvez également afficher ou personaliser la liste par défaut des motifs refusés de script inter-site。

Les listes par défaut sont spécifiées dans leWeb应用防火墙>签名>签名par defaut．Si vous ne liez aucun对象签名à votre profile, la liste des scripts intersites par défaut autorisée et refusée spécifiée dans l 'objet Signatures par défaut sera utilisée par le proffil pour le traitement du contrôle de sécurité跨站点脚本。Les balises, attribute et motifs, spécifiés dans l ' objecet signatures par défaut, sont en lecture seule。Vous ne pouvez pas les modifier ou les modifier。Si vous souhaitez les modifier ou les modifier, effect tuez une copy de l ' objecet signature par défaut pour créer un objecet signature définie par l 'utilisateur。Modifiez les listes Autorisé ou Refusé新对象签名défini par l 'utilisateur et utilisez cet对象签名dans le profile qui traite le traffic pour lelevous souhaitez utiliser ces listes personnalisées autorisées et refusées。

倒加d '信息sur les签名，报告-vous à la节http://support.citrix.com/proddocs/topic/ns-security-10-map/appfw-signatures-con.html．

倒afficher les modèles de script intersite par défaut:

1. Accedez一Web应用防火墙>签名, selectionnez*签名défaut， puis cliquez sur修饰符．Ensuite, cliquez surGérer les modèles de脚本SQL/inter-site．

这个表格Gérer les chemins de script SQL/inter-sitePrésente les trois lignes suivantes亲戚au script inter-site:

Xss /allowed/attribute Xss /allowed/tag Xss /denied/pattern 

Sélectionnez une ligne et cliques surGérer les éléments倒afficher les éléments de脚本间通讯员(balise，属性，母题)utilisés par la vérification de脚本跨站点dupar -feu Web应用防火墙。

倒personaliser des éléments de script inter-sites: vous pouvez修饰语l ' objecet signature défini par l 'utilisateur pour personaliser la balise autorisée, les attributs autorisés et les motifs refusés。你的pouvez ajouter de nouvelles entrées你的供体细胞的存在déjà。

1. Accédez à Web应用防火墙>签名， mettez en surbrance la签名définie巴黎，巴黎修饰符．双击苏尔Gérer les modèles de脚本SQL/inter-sites倒咖啡桌Gérer les chemins de script SQL/inter-site．
2. Sélectionnez la ligne cible de script inter-site。

a) Cliquez surGérer les éléments倒ajouter，修饰符欧supprimerL ' élément de script站点间通讯员。

b) Cliquez surSupprimer倒供应商la ligne sélectionnée。

Avertissement

Soyez très谨慎的lorsque vous priprimez ou modifiez un élément de脚本跨站点par défaut, ou priprimez le chemin de脚本跨站点pour priprimer la ligne entière。Les signatures, la vérification de sécurité HTML跨站脚本等la vérification de sécurité XML跨站脚本s 'appuient sur ces éléments pour détecter Les攻击visant à protéger vos应用程序。La personalisation du script inter-site Elements peut rendre votre application vulnérable aux攻击de script inter-site si le modèle requis est supprimé lors de La modification。

利用de la function de journal avec la vérification de script跨站点XML

Lorsque l 'action de journalisation est activée, les违规de vérification de sécurité XML跨站脚本sont enregistrées dans le journal d 'audit en tant que违规de脚本AppFW_XML_Cross-Sites．Web应用防火墙使用日志格式和CEF。Vous pouvez également envoy les journaux à un server syslog remote。

倒accéder aux messages du journal à l 'aide de la ligne de command

巴库勒斯和贝壳和雷彻斯和费希斯。logs dans le dossier /var/log/ pour accéder aux messages de journal relatifs aux违规de script跨站点XML:

> \ * \ *壳 \*\* > \*\* tail - f /var/log/ns.log | grep APPFW_XML_cross-site脚本\ * \ * < !——NeedCopy >

示例d 'un消息de日志de违规de vérification de sécurité XML跨站脚本编写au格式日志原生montrant< >阻塞l 'action

10月7日01:44:34  10.217.31.98 10/07/2015:01:44:34 GMT ns 0- ppe -1: default APPFW appfw_xml_跨站脚本1154 0:10.217.253.69 3466-PPE1 - owa_profile http://10.217.31.101/FFC/login.html跨站脚本check failed for field script="Bad tag: script" <\*\*blocked\*\*> 

示例d 'un消息de journal de violation de vérification de sécurité XML跨站脚本格式日志CEF montrant<不阻塞>l 'action

10月7日01:46:52  10.217.31.98 CEF:0|Citrix|Citrix ADC|NS11.0|APPFW| appfw_xml_跨站脚本|4|src=10.217.30.17 geolocation=Unknown spt=33141 method=GET request=http://10.217.31.101/FFC/login.html msg=Cross-site script check failed for field script="Bad tag: script" cn1=1607 cn2=3538 cs1=owa_profile cs2=PPE0 cs4=ERROR cs5=2015 act=\*\*not blocked\*\* 

倒accéder aux messages du journal à l 'aide de l 'interface graphique

L 'interface graphique Citrix include un outil utility (Syslog查看器)倾倒分析器les messages du journal。Vous disposez de plusieurs options pour accéder à la visionneuse Syslog:

• Accedez盟Web应用防火墙>的资料， sélectionnez le profile cible et cliquez surVérifications de sécurité．Mettez en surbrance la ligneXML跨站脚本， puis cliquez surJournaux．Lorsque vous accédez aux journaux direction à partir de la vérification de脚本跨站点XML du概要，l 'interface graphhique滤镜les messages de journalet affichi法文les journaux relativers à ces违规de vérification de sécurité。

• Vous pouvez également accéder à la visionneuse Syslog en accédant àCitrix ADC>和>审计．Dans la section审计信息，留置权信息Syslog日志信息，包括违规信息vérification de sécurité。Ceci est utitile pour le débogage lorsque plusieurs violations de vérification de sécurité peuvent être déclenchées pendant le traitement de la demand。

• Accedez一Web应用防火墙>策略>审计．丹斯拉节消息d 'audit，留置权之争Syslog的消息pour afficher la visionneuse Syslog，查询日志信息，包含日志信息contrôles de sécurité。

La visionneuse Syslog basée sur XML fournit diveseroptions de filtre pour sélectionner uniquement les messages de journal qui vous intéressent。倒sélectionner les messages de journalisation倒la vérificationXML跨站脚本， filtrez en sélectionnantAPPFWDans les options déroulantes du模块．La listed型'evenementOffre UN ensemble complete d 'options pour affiner votre sélection。例如，si vous activez la case à cocherAppFW_XML_Inter-Site脚本Et que vous cliquez sur le bouton贴花， seuls les messages relatifs aux违规de vérification de sécurité des scripts intersites XML apparaissent dan la visionneuse Syslog。

这是一个诅咒的地方，在杂志上留言spécifique, plusieurs options, telles que模块，d型'evenement，ID d 'evenement，地址IP du客户端，等等，这是最有效的。Vous pouvez sélectionner l 'une de ces options pour mettre en surveillance les information通讯员dans le message de journal。

站点间XML的相关统计和违规描述

骗人的统计方法activée, le compteur de la vérification de脚本跨站点XML est incrémenté骗人的Web应用程序防火墙防火墙操作方法vérification de sécurité。统计表collectées为我们的生活和尊严，为我们的交通，为我们的违法行为和新闻。尾巴incrément生物变化计算机paramètres configurés。例如，si l 'action de blocage est activée, une demand d 'une page content三次违规de script跨站点XML incrémente le compteur de statisques d 'un, car la page est bloquée dès que la première违规est détectée。Toutefois, si le bloc est désactivé， le traement de la même demande incrémente le computer de statistics pour les violation et les triaux de journal, car chque violation génère un message de journal distinct。

倒afficher les statisques XML跨站点脚本，vérifiez les statisques à l 'aide de la ligne de command

À l 'invite de commands, tapez:

> **sh appfw stats** .使用实例

档案统计档案spécifique，总指挥:

> . > **stat appfw配置文件** <配置文件名称

倒afficher les statistics de script跨站点XML à l 'aide de l 'interface graphique

1. Accedez一和>安全炸药>Web应用防火墙．
2. 自由权利，accédez留置权的．
3. 使用数据库défilement站点间XML的违规统计和脚本记录。Le tableau des statistics fournit des données en temps réel et est mis à jour toutes les 7秒。