这是一个很好的例子
Citrix Web应用防火墙使用模式匹配方法来检测HTML有效负载中的命令注入攻击。该方法使用一组预定义的关键字和(或)特殊字符来检测攻击并将其标记为违规。尽管这种方法是有效的,但它可能导致许多误报,从而导致增加一个或多个放松规则。“退出”(Exit)。http://www.qqqq.com http://www.qqqq.com
中文:http://www.chinesechinac.cn/chinese/chinese/chinese/。在这种情况下,该语句不必是有效的命令注入语句。但是在基于语法的方法中,只有在命令注入语句中存在关键字或特殊字符时,才会检测到命令注入攻击。因此,减少了假阳性情景。
基于命令注入语法的保护使用场景
【中文译文】:“塔顶,塔顶,塔顶,塔顶!”【中文译文】尽管该语句不是有效的命令注入语句,但由于关键字“退出”,要求方法会将请求检测为命令注入攻击。但是在基于命令注入语法的方法中,该语句不会被检测为违规攻击,因为关键字不存在于有效的命令注入语句中。
【中文译文
要实现基于命令注入语法的检测,必须在Web应用防火墙配置文件中配置“cmdinjectionGrammar”参数。默认情况下,该参数处于禁用状态。支持除学习之外的所有现有命令注入操作。升级后创建的任何新配置文件都支持命令注入语法。新配置文件继续使用默认类型为“特殊字符或关键字”,并且必须显式启用命令注入语法。
在命令提示符下,键入:
添加appfw profile -CMDInjectionAction -CMDInjectionGrammar ON/OFF 示例:
添加appfw profile profile profile -CMDInjectionAction Block -CMDInjectionGrammar ON 我的意思是,我的意思是,我的意思是,我的意思是
如果您同时启用了基于语法和模式匹配的方法,则设备将首先执行基于语法的检测。如果在操作类型设置为“块”的情况下检测到命令注入,则请求将被阻止(不使用模式匹配验证检测)。
在命令提示符下,键入:
add appfw profile -CMDInjectionAction -CMDInjectionGrammar ON -CMDInjectionType <除' None '以外的任何动作:CMDSplCharANDKeyword/ CMDSplCharORKeyword/ CMDSplChar/ CMDKeyword> 示例:
添加appfw配置文件p1 - cmdinjectionaction块- CMDInjectionGrammar ON - cmdinjectiontype CMDSplChar 【中文译文
在命令提示符下,键入:
add appfw profile -CMDInjectionAction -CMDInjectionGrammar ON -CMDInjectionType None 示例:
添加appfw配置文件p1 - cmdinjectionaction块- CMDInjectionGrammar ON - cmdinjectiontype None 使用CLI为基于命令注入语法的保护绑定放宽规则
如果您的应用程序要求您绕过针对HTML负载中特定“元素”或“属性”的命令注入检查,则必须配置放宽规则。
注意:
笨笨,笨笨,笨笨,笨笨,笨笨,笨笨
命令注入检查放宽规则具有以下语法。在命令提示符下,键入:
bind appfw profile -CMDInjection [isRegex(REGEX| NOTREGE)] [-location ] [-valueType(关键字|SpecialString|Wildchar) [][-isValueRegex (REGEX| NOTREGEX)]] 示例:
绑定appfw profile p1 - cdinjection abc http://10.10.10.10/绑定appfw profile p1 - cdinjection 'abc[0-9]+' http://10.10.10.10/ -isregex regEX绑定appfw profile p1 - cdinjection 'name' http://10.10.10.10/ -valueType关键字'exi[a-z]+' -isvalueRegex regEX 【中文译文
对,对,对,对。
导航到“Citrix Web应用防火墙”。
选择配置文件,然后单击编辑。
转到“好吧!”【翻译】安全检查”。
【翻译】HTML“呃,呃,呃……”“”“”。
选中[中文]检查复选框。
从“检查请求包含“中国,中国。”无”。
"“……”。
