Cookie整合性チェック
饼干の一貫性チェックは,ユーザーから返された饼干を調べ,Webサイトがそのユーザーに対して設定した饼干と一致することを確認します。変更された饼干が見つかると,リクエストがWebサーバーに転送される前にリクエストから削除されます。また,饼干の暗号化,饼干のプロキシ,または饼干へのフラグの追加によって,処理するすべてのサーバー饼干を変換するように饼干の一貫性チェックを構成することもできます。このチェックはリクエストとレスポンスに適用されます。
攻撃者は通常,以前に認証されたユーザーになりすまして機密性の高い個人情報にアクセスしたり,バッファオーバーフローを引き起こしたりするために饼干を改ざんします。バッファオーバーフローチェックは,長い饼干を使用してバッファオーバーフローを起こそうとする試みから保護します。Cookieの整合性チェックでは,最初のシナリオに焦点を当てます。
ウィザードまたはGUIを使用する場合,[饼干整合性チェックの変更]ダイアログボックスの[全般]タブで,次のアクションを有効または無効にできます。
- ブロック
- ログ
- 使い方
- 統計
- トランスフォ,ム。有効にすると、转换アクションによってすべての饼干が次の設定で指定されているとおりに変更されます。
- サ,バ,のCookieを暗号化します。応答をクライアントに転送する前に,饼干の一貫性チェック緩和リストに記載されているものを除き,Webサーバーによって設定された饼干を暗号化します。暗号化された饼干は,クライアントが後続の要求を送信すると復号化され,復号化された饼干は保護されたWebサーバに転送される前に要求に再挿入されます。次の暗号化タ▪▪▪プの1▪▪▪を指定します。
- なし。Cookieを暗号化または復号化しないでください。デフォルト。
- 復号化のみ。暗号化されたCookieのみを復号化します。Cookieは暗号化しないでください。
- セッションのみを暗号化します。セッションCookieのみを暗号化します。永続的なCookieは暗号化しないでください。暗号化されたCookieをすべて復号化します。
- すべてを暗号化します。セッションCookieと永続的なCookieの両方を暗号化します。暗号化されたCookieをすべて復号化します。注:Cookieを暗号化する場合,Web应用防火墙はCookieにHttpOnlyフラグを追加します。このフラグは,スクリプトがCookieにアクセスしたり解析したりすることを防ぎます。したがって,このフラグは,スクリプトベースのウイルスやトロイの木馬が復号化された饼干にアクセスし,その情報を使用してセキュリティを侵害することを防ぎます。これは[サーバーの饼干の暗号化]パラメーター設定とは別に処理される[饼干に追加するフラグ]パラメーター設定に関係なく行われます。
- サ,バ,のCookieを暗号化します。応答をクライアントに転送する前に,饼干の一貫性チェック緩和リストに記載されているものを除き,Webサーバーによって設定された饼干を暗号化します。暗号化された饼干は,クライアントが後続の要求を送信すると復号化され,復号化された饼干は保護されたWebサーバに転送される前に要求に再挿入されます。次の暗号化タ▪▪▪プの1▪▪▪を指定します。
- プロキシサ,バ,のCookie。饼干の一貫性チェックの緩和リストに記載されているものを除き,Webサーバーによって設定されたすべての非永続的(セッション)饼干をプロキシします。饼干は,既存のWeb应用防火墙セッション饼干を使用してプロキシされます。Web应用防火墙は、保護された Web サーバーによって設定されたセッション Cookie を取り除き、応答をクライアントに転送する前にローカルに保存します。クライアントが後続のリクエストを送信すると、Web App Firewall はセッション Cookie をリクエストに再挿入してから、保護された Web サーバーにリクエストを転送します。次のいずれかの設定を指定します。
- なし。Cookieをプロキシしない。デフォルト。
- セッションのみ。セッションCookieのみプロキシする。永続的な饼干をプロキシしない注:饼干プロキシを有効にした後で無効にした場合([セッションのみ]に設定した後でこの値を[なし]に設定),饼干プロキシを無効にする前に確立されたセッションに対して饼干プロキシが維持されます。したがって,Web应用防火墙がユーザーセッションを処理している間は,この機能を安全に無効にできます。
- Cookieに追加するフラグ。変換中にCookieにフラグを追加します。次のいずれかの設定を指定します。
- なし。Cookieにフラグを追加しないでください。デフォルト。
- HTTPのみ。httpOnlyフラグをすべてのCookieに追加します。HttpOnlyフラグをサポートするブラウザでは、このフラグが設定された Cookie にスクリプトからアクセスすることはできません。
- セキュア。SSL接続でのみ送信されるCookieに安全フラグを追加します。安全フラグをサポートするブラウザは,フラグ付きの饼干をセキュアでない接続で送信しません。
- [すべて]。すべての饼干にHttpOnlyフラグを追加し,SSL接続でのみ送信される饼干に安全フラグを追加します。
コマンドラインインターフェイスを使用する場合は,次のコマンドを入力して饼干整合性チェックを設定できます。
设置appfw概要文件<名称> -cookieConsistencyAction[* *屏蔽* *][* *学习* *][* *记录* *][* *数据* *][* *不* *]set appfw profile-cookieTransforms ([**ON**] | [**OFF**]) set appfw profile-cookieEncryption ([**none**] | [**decryptOnly**] | [**encryptSession**] | [**encryptAll**]) set appfw profile- cookieproxy ([**none**] | [**sessionOnly**]) 设置appfw概要文件<名称> -addCookieFlags((* *不* *)| (* * httpOnly * *) |(* *保护* *)|(所有* * * *))
Cookie整合性チェックの緩和を指定するには,GUIを使用する必要があります。(饼干整合性チェックの変更]ダイアログボックスの[チェック]タブで,[追加]をクリックして[饼干整合性チェック緩和の追加]ダイアログボックスを開くか,既存のリラクゼーションを選択して[開く]をクリックして[饼干整合性チェック緩和の変更]ダイアログボックスを開きます。どらのダアログボックスにも,リラクゼションを構成するための同じオプションが表示されます。
Cookie整合性チェック緩和の例を以下に示します。
ログオンフィ,ルド。次の式は,文字列logon_で始まり,その後に2文字以上15文字以下の文字または数字の文字列が続くすべての饼干名を除外します。
^ logon_美元[0-9A-Za-z] {2, 15} < !——NeedCopy >ログオンフィ,ルド(特殊文字)。次の式では,文字列turkce-logon_で始まり,その後に2文字以上15文字以下の文字または数字の文字列が続くすべての饼干名が除外されます。
^ txC3xBCrkxC3xA7e-logon_美元[0-9A-Za-z] {2, 15} < !——NeedCopy >任意の文字列。sc-item_という文字列にユーザーがショッピングカートに追加した商品のID ([0-9a-zA-Z] +), 2つ目のアンダースコア(_),最後に希望する商品の数
([1 - 9] [0 - 9] ?)が続くクッキ,をユ,ザ,が変更できるようにします。^ sc-item_ [0-9A-Za-z] + _[1 - 9][0 - 9]吗?$ < !——NeedCopy >
注意:正規表現は強力です。特にpcre形式の正規表現に慣れていない場合は,作成した正規表現をすべて再確認してください。例外として追加するurlを正確に定義し,それ以外は何も定義していないことを確認してください。ワイルドカード,特にドットとアスタリスク(. *)メタキャラクタとワイルドカードの組み合わせを不注意に使用すると,意図しないWebコンテンツへのアクセスをブロックしたり,饼干の一貫性チェックでそうしない攻撃を許可したりするなど,望ましくない結果が得られる可能性があります。ブロックされています。