¿Escribiendo reglas específicas de la aplicación para WAF?

Navega tus respuestas
-1

Estaba leyendo un artículo en "

<Location /index.php>
SecDefaultAction phase:2,t:none,log,deny
# Validate parameter names
SecRule ARGS_NAMES "!^(articleid)$" \
"msg:'Unknown parameter: %{MATCHED_VAR_NAME}'"
# Expecting articleid only once
SecRule &ARGS:articleid "!@eq 1" \
"msg:'Parameter articleid seen more than once'"
# Validate parameter articleid
SecRule ARGS:articleid "!^[0-9]{1,10}$" \
"msg:'Invalid parameter articleid'"
</Location>

La idea es enumerar todos los parámetros contra el recurso web y filtrarlos como se muestra en las reglas anteriores. Mi pregunta es qué otro tipo de ajuste específico de la aplicación es necesario para las reglas WAF.

    
pregunta Ali Ahmad 12.03.2013 - 08:29
fuente

1 respuesta

4

No estoy seguro de que hayas entendido el artículo. El artículo insiste en escribir reglas de acuerdo con la siguiente rúbrica:

  
  1. Enumerar todos los parámetros.
    2.   
  2. Para cada parámetro, determine cuántas veces puede aparecer en la solicitud.
    3.   
  3. Para cada parámetro, confirme que el valor se ajusta al formato deseado.
    4.   
  4. Rechazar solicitudes que contengan parámetros desconocidos.
    5.   
  5. Rechazar las solicitudes que utilizan codificación no válida.
    6.   

Estas son las pautas muy básicas para escribir cualquier conjunto de reglas WAF, es decir, filtrar lo que no se ajusta a la cantidad, el contenido o la codificación de los datos esperados.

Los detalles de lo que debería ser para cualquier aplicación específica dependen completamente de la aplicación en sí. Mire el código o pregunte al desarrollador de la aplicación cuáles son los parámetros esperados y válidos.

Una vez que hayas hecho eso, debes actualizar las reglas si la aplicación está actualizada, y debes monitorear y ajustar constantemente el WAF de acuerdo con lo que se envía a la aplicación.

    
respondido por el schroeder 12.03.2013 - 20:07
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna forma de que OS X inicie una conexión VPN antes de permitir el tráfico de red? [cerrado] Inspeccionando el elemento "tidynetwork" en chrome para encontrar su origen en mi computadora portátil [cerrado]