In Web App Firewall
In Citrix ADC 13.1
In Citrix ADC
In All products
製品ドキュメント
In Web App Firewall
In Citrix ADC 13.1
In Citrix ADC
In All products
Citrix ADC
Current Release 13.0 12.1 11.1
PDFを表示

HTML クロスサイトスクリプティングチェック

August 23, 2021
寄稿者:
C

HTML クロスサイトスクリプティング(クロスサイトスクリプティング)チェックでは、クロスサイトスクリプティング攻撃の可能性がないか、ユーザー要求のヘッダーと POST ボディの両方を調べます。クロスサイトスクリプトが見つかった場合、攻撃を無害にするためにリクエストを変更(変換)するか,リクエストをブロックします。

注:

HTMLクロスサイトスクリプティング(クロスサイトスクリプティング)チェックは、コンテンツタイプ、コンテンツの長さなどに対してのみ機能します。クッキーでは機能しません。また、Webアプリケーションファイアウォールプロファイルで「CheckRequestHeaders」オプションを有効にしてください。

同一生成元ルールに違反するHTMLクロスサイトスクリプティングスクリプトを使用することで、保護されたWebサイトでのスクリプトの誤用を防ぐことができます。このルールでは、スクリプトはサーバー以外のサーバーのコンテンツにアクセスしたり変更したりしてはなりません。同じオリジン規則に違反するスクリプトはクロスサイトスクリプトと呼ばれ、スクリプトを使用して別のサーバー上のコンテンツにアクセスまたは変更する習慣をクロスサイトスクリプティングと呼びます。クロスサイトスクリプティングがセキュリティ上の問題である理由は、クロスサイトスクリプティングを許可する Web サーバーは、その Web サーバー上ではなく、攻撃者が所有し制御しているサーバーなど、異なる Web サーバー上で攻撃される可能性があるためです。

残念ながら,多くの企業では,同じオリジンルールに違反するJavaScriptが強化された网络コンテンツの大規模なインストールベースを持っています。このようなサイトで HTML クロスサイトスクリプティングチェックを有効にすると、適切な例外を生成して、チェックが正当な活動をブロックしないようにする必要があります。

Web App Firewall は、HTML クロスサイトスクリプティング保護を実装するためのさまざまなアクションオプションを提供します。ブロックログ統計学習アクションに加えて、送信されたリクエストのスクリプトタグをエンコードするエンティティによって、クロスサイトスクリプトを変換するオプションもあります。クロスサイトスクリプティングの完全な URL を確認するを構成して、クエリパラメータだけでなく URL 全体を検査してクロスサイトスクリプティング攻撃を検出するかどうかを指定できます。InspectQueryContentTypesパラメーターを構成して、特定のコンテンツタイプのクロスサイトスクリプティング攻撃の要求クエリ部分を検査できます。

リラクゼーションを展開して、誤検出を回避できます。Web App Firewall 学習エンジンは、緩和ルールの設定に関する推奨事項を提供できます。

アプリケーション用に最適化されたHTMLクロスサイトスクリプティング保護を構成するには、次のいずれかのアクションを構成します。

  • [Block]:ブロックを有効にすると、要求でクロスサイトスクリプティングタグが検出されると、ブロックアクションがトリガーされます。
  • [Log]:ログ機能を有効にすると、HTML クロスサイトスクリプティングチェックによって実行されるアクションを示すログメッセージが生成されます。ブロックが無効になっている場合、クロスサイトスクリプティング違反が検出されたヘッダーまたはフォームフィールドごとに個別のログメッセージが生成されます。ただし、要求がブロックされると、1 つのメッセージだけが生成されます。同様に、クロスサイトスクリプティングタグが複数のフィールドで変換される場合でも、変換操作に対して要求ごとに1つのログメッセージが生成されます。ログを監視して、正当な要求に対する応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を開始しようとした可能性があります。
  • Stats:有効の場合、stats 機能は違反とログに関する統計情報を収集します。stats カウンタの予期しない急増は、アプリケーションが攻撃を受けていることを示している可能性があります。正当な要求がブロックされている場合は、構成を再確認して、新しい緩和ルールを構成するか、既存の緩和ルールを変更する必要があるかどうかを確認する必要があります。
  • 学習:どの緩和ルールがアプリケーションに最適かが不明な場合は、学習機能を使用して、学習したデータに基づいて HTML クロスサイトスクリプティングルールの推奨事項を生成できます。Web App Firewall 学習エンジンは、トラフィックを監視し、観測された値に基づいて学習の推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るには、ラーニングオプションを短時間有効にして、ルールの代表的なサンプルを取得してから、ルールを展開してラーニングを無効にします。
  • クロスサイトスクリプトの変換:有効にすると、Web App Firewall は HTML クロスサイトスクリプティングチェックに一致するリクエストに対して次の変更を行います。
    • 左山かっこ (<) から HTML 文字エンティティに相当する (<)
    • 右山かっこ(>)からHTML文字エンティティに相当する(>)

これにより、ブラウザが