|
|
Protecting Against Cookie Poisoning and other Cookie-based Attacks
Author: Partian Co Reference Number: AA-00302 Views: 16183 Created: 2017-07-23 13:33 Last Updated: 2017-11-25 14:21 |
0 Rating/ Voters
|
|
محافظت در برابر Cookie Poisoning و دیگر حملات بر مبنای کوکی ها
یک Cookie Security Policy به شما اجازه می دهد که با پیکربندی ویژگی هایی موجود در دستگاه FortiWeb، از سروردر برابر حملات بر مبنای کوکی محافظت کنید.
تنظیمات Cookie Security
- از منوی سمت چپ به مسیر Web Protection > Cookie Security رفته و گزینه ی Create New را انتخاب کنید.
نکته:
- در فیلد Name یک نام جهت شناسایی و به کار بردن Policy در یک Protection Profile وارد کنید.
- فیلد Security Mode دارای گزینه های زیر می باشد:
- None: با انتخاب این گزینه دستگاه FortiWeb در برابر دستکاری و تغییرات کوکی ممانعتی به عمل نیاورده و یا مقدار کوکی را Encrypt نمی کند.
- Signed: با انتخاب این گزینه دستگاه FortiWeb از تغییر و دستکاری کوکی ممانعت به عمل می آورد. انتخاب این گزینه شما را ملزم می کند Session Management را در Protection Policy فعال کنید. زمانی که دستگاه FortiWeb اولین HTTP Request یا HTTPS Request را از سمت یک کاربر دریافت نمود از یک کوکی جهت دنبال کردن Session استفاده می کند.
- Encrypted: با انتخاب این گزینه دستگاه FortiWeb، مقدار کوکی که سرور به سمت کاربر می فرستد را Encrypt می کند. در نتیجه کاربر تنها Encrypted Cookie را می بیند. دستگاه FortiWeb در ادامه کوکی هایی که توسط کاربر ارسال می شود را قبل از رسیدن به سرور Decrypt می کند.
- توسط فیلد Cookie Replay به صورت اختیاری می توانید انتخاب کنید که آیا دستگاه FortiWeb از IP Address مربوط به یک درخواست جهت مشخص کردن صاحب یک کوکی استفاده کند یا خیر. این ویژگی تنها زمانی جهت تنظیم موجود می باشد که گزینه ی Encrypted را برای فیلد Security Mode انتخاب کرده باشید. چون Public IP مربوط به یک کاربر در بسیاری از مواقع به صورت استاتیک نمی باشد و احتمال تغییر آن وجود دارد، توصیه می شود که گزینه ی Cookie Replay را فعال نکنید.
- توسط فیلد Allow Suspicious Cookies می توانید تعیین کنید که آیا دستگاه FortiWeb به درخواستی که شامل کوکی های غیر قابل شناسایی می باشد و یا درخواست هایی که شامل کوکی نیست اجازه ی دسترسی بدهد یا خیر. در صورتی که گزینه ی Signed یا None را برای فیلد Security Mode انتخاب کرده باشید، این فیلد قابل پیکربندی نمی باشد. این فیلد دارای گزینه های زیر می باشد:
- Never: دستگاه FortiWeb در این حالت Action مشخص شده در تنظیمات را برای کوکی اعمال نمی کند.
- Always: دستگاه FortiWeb در این حالت همیشه Action مشخص شده در تنظیمات را برای کوکی اعمال می کند.
- Custom: دستگاه FortiWeb در این حالت Action مشخص شده در تنظیمات را، از زمان شروع تاریخی که در قسمت Don't Block Until مشخص کرده اید، برای کوکی اعمال می کند.
- در فیلد Don't Block Until تاریخی که در آن دستگاه FortiWeb شروع به اعمال Action بر روی درخواست می کند را مشخص می کنید.
- توسط فیلد Cookie Max Age می توانید بیشترین زمان مجاز برای کوکی هایی که Expires Date و یا Max-Age ندارند را مشخص کنید. اگر مقدار 0 را در نظر بگیرید به معنای این است که کوکی بدون Expires Date می باشد.
- جهت اضافه کردن Secure Flag به کوکی باید گزینه ی Secure Cookie را فعال کنید. در نتیجه مرورگر تنها زمانی که درخواست از یک HTTPS Page فرستاده شده باشد، کوکی را بر می گرداند.
- جهت اضافه کردن HTTP Only Flag به کوکی باید گزینه ی HTTP Only را فعال کنید. فعال کردن گزینه ی فوق از دسترسی کاربر به کوکی ممانعت به عمل می آورد. توجه شود که فعال کردن این گزینه شاید باعث ایجاد وقفه و اختلال در Web Application هایی که از کوکی استفاده می کنند شود.
- فیلد Action دارای گزینه های زیر می باشد:
- Alert: با انتخاب این گزینه، درخواست پذیرفته شده و یک Alert Email یا Log Message تولید می شود.
- Alert & Deny: با انتخاب این گزینه، درخواست مورد نظر بلاک شده و یک Alert Email یا Log Message تولید می شود.
- Remove Cookie: با انتخاب این گزینه، درخواست پذیرفته شده ولی Cookie قبل از رسیدن به سرور حذف می گردد و یک Alert Email یا Log Message تولید می شود.
- Period Block: با
انتخاب این گزینه، درخواست های بعدی از سمت کاربر فوق برای مدت زمانی مشخص
بلاک می شود با انتخاب این گزینه یک فیلد دیگر نیز جهت تعیین مقدار زمان
Block Period فعال می گردد.
- برای فیلد Block Period باید مدت زمانی که درخواست های بعدی از سمت
کاربر مربوطه بلاک می شود را تعیین کنید. این فیلد تنها در صورتی که
گزینه ی Period Block را برای فیلد Action انتخاب کنید قابل مقدار
دهی می باشد. مقدار مجاز برای این فیلد از 1 تا 3600 ثانیه و مقدار
پیش فرض برای این فیلد 60 ثانیه می باشد.
- زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک
فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید
تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک
Violation استفاده خواهد کرد. گزینه های موجود برای Severity Level به قرار
زیر می باشد:
- Low
- Medium
- High
مقدار پیش فرض برای این گزینه Medium می باشد.
- توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert
Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام
Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger انتخاب کنید.
- اگر قصد ایجاد یک لیست استثنا برای بعضی از کوکی ها را دارید بعد از کلیک بر روی گزینه ی OK گزینه ی Create New را انتخاب کنید.
نکته:
- برای فیلد Cookie Name نام کوکی مورد نظر را وارد کنید. به عنوان مثال NID
- برای فیلد Cookie Domain بخشی یا نام کامل Domain Name یا IP Address مربوط به Domain را وارد کنید.
- برای فیلد Cookie Path مسیر کوکی را مشخص کنید.
|
|
|
ТРЦ