Json
JSON命令注入检查会检查传入的JSON流量中是否存在破坏系统安全或修改系统的未经授权的命令。检查流量时,如果检测到任何恶意命令,设备将阻止请求或执行配置的操作。
在命令注入攻击中,攻击者的目标是在Citrix ADC操作系统或后端服务器上运行未经授权的命令。为此,攻击者使用易受攻击的应用程序注入操作系统命令。如果设备只是在没有任何安全检查的情况下转发请求,则后端应用程序容易受到注入攻击。因此,配置安全检查非常重要,以便Citrix ADC设备可以通过阻止不安全数据来保护您的网页应用程序。
命令注入保护的工作原理
- “”“”“”“”“”“”如果JSON请求没有与任何被拒绝的关键字或特殊字符匹配的模式,则允许该请求。否则,将根据配置的操作阻止、删除或重定向请求。
- 如果您希望从列表中免除关键字或特殊字符,则可以创建放宽规则以在特定条件下绕过安全检查。
- 您可以启用日志记录以生成日志消息。您可以监控日志,以确定对合法请求的响应是否被阻止。日志消息数量的大幅增加可能表明有人试图发起攻击。
- 您还可以启用统计功能来收集有关违规和日志的统计数据。统计数据计数器出现意外激增可能表明您的应用程序受到攻击。如果合法请求被阻止,您可能需要重新访问配置,以查看是否必须配置新的放宽规则或修改现有放宽规则。
用于命令注入检查的关键字和特殊字符被拒绝
。以下是在命令注入检测期间阻止的关键字列表。
< commandjection > 7z 7za 7zr … 签名文件中定义的特殊字符有:|;& $ > < ' \ !> > #
http://www.qqqq.com http://www.qqqq.com
在命令行界面中,您可以使用集appfw概要文件命令或添加一个appfw概要文件命令来配置JSON命令注入设置。您可以启用阻止、日志和统计信息操作。您还必须设置要在有效负载中检测的命令注入类型,例如关键字和字符串字符。
在命令提示符下,键入:
设置appfw profile
注意:
默认情况下,命令注入操作设置为 “阻止日志统计信息”。此外,默认命令注入类型设置为
CmdSplCharANDKeyWord。Web Web Web Web Web Web Web Web
示例:
设置appfw profile profile1 -JSONCMDInjectionAction块-JSONCMDInjectionType CmdSplChar
【中文译文】
无-禁用命令注入保护。日志-记录安全检查的命令注入冲突。阻止-阻止违反命令注入安全检查的流量。统计数据(英文)
【中文译文】
Cmd SplChar-检查特殊字符CmdKeyWord-检查命令注入关键字CmdSplCharANDKeyWord-这是默认操作。该操作会检查特殊字符和命令注入。只有当关键字和方块都存在时。CmdSplCharORKeyWord-关键字和块(中文)。
. json
如果您的应用程序要求您绕过对有效负载中的特定元素或属性的JSON命令注入检查,则可以配置放宽规则。
Json。
绑定appfw profile
标题中正则表达式的放松规则示例
绑定appfw profile abc_json -jsoncmDURL http://1.1.1.1/hello.html
(1)、(1)、(1)
绑定appfw配置文件abc_json -jsoncmDURL http://1.1.1.1/*”
要删除松弛,请使用 “取消绑定”。
unbind appfw profile abc_json -jsoncmDURL " http://1.1.1.1/* "
GUI。json
对,对,对,对,对,对。
- 导航到Citrix Web应用防火墙。
- 在配置文件页面上,选择一个配置文件,然后单击编辑。
- 在Citrix Web应用防火墙页面上,转到高级设置部分,然后单击安全检查。
- 在 “安全检查” 部分中,选择 “Json”,然后单击 “操作设置”。
在Json页面中,设置以下参数
- 操作。英文释义
- 选中请求包含。选择命令注入模式以检查传入请求是否具有该模式。
- 单击确定。
查看命令注入流量和违规统计信息
Citrix Web应用防火墙信息页面以表格或图形格式显示安全流量和安全违规详细信息。
使用命令界面查看安全统计信息。
在命令提示符下,键入:
启动appfw profile profile
| 应用解析 | 速率(/秒) | 总数 |
|---|---|---|
| 请求 | 0 | 0 |
| 请求字节(每周一次) | 0 | 0 |
| 回应 | 0 | 0 |
| 响应字节() | 0 | 0 |
| 中止 | 0 | 0 |
| 重定向 | 0 | 0 |
| 长期平均响应时间(毫秒) | - - - - - - | 0 |
| - - - - - - | 0 |
| Html / xml / json | 速率(/秒) | 总数 |
|---|---|---|
| 链接地址 | 0 | 0 |
| http://www.qqqq.com | 0 | 0 |
| 引荐人标头 | 0 | 0 |
| 缓冲区溢出 | 0 | 0 |
| 饼干 | 0 | 0 |
| 曲奇技法 | 0 | 0 |
| CSRF | 0 | 0 |
| HTML | 0 | 0 |
| HTML SQL链接 | 0 | 0 |
| 字段格式 | 0 | 0 |
| 字段一致性 | 0 | 0 |
| 信用卡 | 0 | 0 |
| 安全对象 | 0 | 0 |
| 签名违规 | 0 | 0 |
| 内容类型 | 0 | 0 |
| Json | 0 | 0 |
| JSON SQL | 0 | 0 |
| Json | 0 | 0 |
| 文件上传类型 | 0 | 0 |
| XML | 0 | 0 |
| HTML | 0 | 0 |
| XML | 0 | 0 |
| XML (XDoS) | 0 | 0 |
| XML | 0 | 0 |
| Web | 0 | 0 |
| XML SQL数据库 | 0 | 0 |
| XML文件 | 0 | 0 |
| XML | 0 | 0 |
| 肥皂 | 0 | 0 |
| XML | 0 | 0 |
| 违规总数 | 0 | 0 |
| Html / xml / json | 速率(/秒) | 总数 |
|---|---|---|
| 链接本文 | 0 | 0 |
| [中文] | 0 | 0 |
| 引用者标头日志 | 0 | 0 |
| 缓冲区溢出日志 | 0 | 0 |
| 饼干 | 0 | 0 |
| 曲奇饼 | 0 | 0 |
| CSRF | 0 | 0 |
| HTML标签 | 0 | 0 |
| HTML标签 | 0 | 0 |
| HTML SQL | 0 | 0 |
| HTML SQL | 0 | 0 |
| 字段格式日志 | 0 | 0 |
| 字段一致性日志 | 0 | 0 |
| 信用卡 | 0 | 0 |
| 信用卡转换日志 | 0 | 0 |
| 安全对象日志 | 0 | 0 |
| 签名日志 | 0 | 0 |
| 内容类型日志 | 0 | 0 |
| Json | 0 | 0 |
| Json SQL | 0 | 0 |
| Json | 0 | 0 |
| 文件上传类型日志 | 0 | 0 |
| XML | 0 | 0 |
| Json CMD | 0 | 0 |
| HTML | 0 | 0 |
| XML | 0 | 0 |
| XML (XDoS | 0 | 0 |
| XML | 0 | 0 |
| Wsi | 0 | 0 |
| XML SQL | 0 | 0 |
| XML文件 | 0 | 0 |
| XML | 0 | 0 |
| 肥皂 | 0 | 0 |
| XML | 0 | 0 |
| 日志消息总数 | 0 | 0 |
服务器错误响应统计信息速率(/ s) |总数 | |—|–|–| HTTP客户端错误(4 xx重复)| 0 | 0 | HTTP服务器错误(5 xx重复)| 0 | 0 |
| Html / xml / json | 速率(/秒) | 总数 |
|---|---|---|
| Json | 0 | 0 |
| XML | 0 | 0 |
Citrix ADC GUI
完成以下步骤以查看命令注入统计信息:
- 导航到Citrix Web应用防火墙>。
- Web应用防火墙(Web application Firewall统计信息。
- Citrix Web应用防火墙【中文译文】
- 您可以选择 “表格视图” 或切换到 “图形视图”,以表格或图形格式显示数据。
Json
Json
. json
Web应用程序防火墙为您提供了从基于JSON的命令注入检查中放宽特定JSON键或值的选项。通过配置细粒度松弛规则,可以完全绕过对一个或多个场的检查。
“”“”“”“”“”“”“”“”
【中文译文】:
- 注册表名称
- 注册表值
“”“”“”“”“”“”Web应用防火墙由于黑客可以在命令注入攻击中使用这些关键字,因此Web应用程序防火墙会将所有关键字标记为潜在威胁。如果您想放宽一个或多个被认为对特定位置安全的关键字,则可以配置放宽规则,以绕过安全检查并阻止其余关键字。放宽中使用的命令具有值类型和值表达式的可选参数。您可以指定值表达式是正则表达式还是文字字符串。值类型可以留空,也可以选择关键字或特殊字符串。
注意:
正则表达式非常强大。“”“”“”“”“”“”“”http://www.geonge.cn/cn/或http://www.geonge.cn/cn/粗心使用通配符,尤其是点星号(. *)元字符或通配符组合,可能会产生您不希望的结果,例如阻止对您不打算阻止的网络内容的访问,或者允许JSON SQL注入检查本来会阻止的攻击。
需要考虑的要点
- 值表达式是可选参数。字段名称可能没有任何值表达式。
- 一个注册表名称可以绑定到多个值表达式。
- 1)、2)SpecialString。
- http://www.tingclass.cn/ http://www.tingclass.cn/。
【中文译文
要配置JSON文件颗粒放宽规则,必须将细粒度松弛实体绑定到Web应用防火墙配置文件。
在命令提示符下,键入:
bind appfw profile -jsoncmdURL -key -valueType 示例:
绑定appfw profile appprofile1 -jsoncmdurl www.example.com -key blg_cnt -isRegex NOTREGEX -valueType关键字“cat”-isvalueRegex NOTREGEX
使用GUI为基于JSON的命令注入攻击配置精细松弛规则
- 导航到应用程序防火墙 > 配置文件,选择一个配置文件,然后单击编辑。
- 在“高级设置”窗格中,单击 “放宽规则”。
- 在放宽规则部分,选择一个Json记录,然后单击编辑。
- 在Json滑块中,单击添加。
在Json页面中,设置以下参数。
- 已启用
- 是名字正则表达式
- 注册表项名称
- URL
- 值类型
- 注意
- 追梦记
- 单击创建。
