آموزش تنظیمات Parameter Validation در Fortiweb
چگونه Parameter Validation را در فورتی وب پیکربندی کنیم؟ در آموزش های قبلی به معرفی Parameter validation و Input validationپرداختیم،در این آموزش به نحوه پیکربندی Parameter validation خواهیم پرداخت.برای پیکر بندی Parameter validation به مسیر Web protection-> Input validation -> parameter validation rule بروید،طبق تصویر ذیل:
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
و تمام پارامترها را طبق توضیحات زیر تکمیل میکنیم:
- اختصاصName: در این بخش برای Rule خود یک اسم انتخاب می کنیم.
- تعیینHost status//Host: اگر از Virtual Host ( Protected hostname ) در پیکر بندی فورتی وب استفاده کرده باشیم این بخش را فعال می کنیم و در بخش Host اسم Protected Hostname خود را انتخاب می کنیم.
- مشخص نمودنRequest URL type: تعیین می کنیم که فورتی وب با استفاده از Regular expression صفحه ی مورد نظر برای اعمال parameter validation را شناسایی کند یا در simple string با استفاده از ادرس URL که خودمان می دهیم این کار را انجام دهد.
- تعیینRequest URL : در این بخش تعیین می کنیم که فورتی وب محدودیت های مورد نظر خود را روی چه ادرس URL اعمال کند.
- انتخاب نوع Action: تعیین می کنیم که اگر Rule مورد نظر ما نقض شد فورتی وب چه اقدامی را اتخاذ کند.
- درجه Severity: تعیین می کنیم که اگر این Rule نقض شد لاگ ان با چه درجه ی حساسیتی ایجاد شود.
- تعیینTrigger policy:در این بخش تعیین می کنیم که اگر Rule مورد نظر ما نقض شد فورتی وب چه اقدامی در راستای اطلاع رسانی ادمین انجام دهد.
نکته : فورتی وب نمی تواند روی پارامتر هایی که حجم ان ها از Memory buffer بیشتر است Ruleهای Parameter validation را اعمال کند در مواردی که حجم پارامتر ما از Memory buffer بیشتر است باید در محیط CLI حجم buffer را افزایش بدهیم.بعد از ایجاد rule خود به پیکربندی ان می پردازیم
- تعیین Name Type: تعیین می کنیم که فورتی وب با استفاده از Regular expression تگ مورد نظر برای اعمال parameter validation را شناسایی کند یا در simple string با استفاده از نامی که خودمان می دهیم این کار را انجام دهد.
- اختصاص Name : در این بخش اسم تگ <input> را وارد می کنیم تا عملیات parameter validation روی ان انجام شود.در کد HTML بعد از پیدا کردن تگ <input> نام تگ را در این بخش وارد کنیم، مثلا در کد زبر نام تگ PWD می باشد:
<input type="password" name="pwd" />
- تعیین مقدار Max length تعیین می کنیم که که طول دیتایی که وبسایت به عنوان ورودی دریافت می کند چه قدر باشد مثلا اگر قرار باشد وبسایت ما عبارت Mohammad را به عنوان ورودی دریافت کند می توانیم Max length را 8 ست کنیم چون Mohammad 8 کارکتر دارد، برای غیر فعال کردن Max length مقدار ان را 0 قرار دهید
- تعیینRequired: تعیین می کنیم که ایا پرکردن این تگ اجباری است یا نه
- انتخابUse Type Check: در این بخش تعیین می کنیم که چه نوع دیتایی وارد تگ ورودی سایت بشود.
- مشخص نمودن Data type : مشخص می کنیم دیتای ورودی در چه قابلی باشد مثلا اگر تگ <input> وبسایت ما قرار است شماره موبایل را به عنوان ورودی بگیرد در data type تعیین می کنیم که فقط ورودی با قالب Number وارد این تگ شود.
- انتخابRegular expression: با استفاده از regular expression نوع دیتای خود را انتخاب می کنیم.
- تعیین Custom data type: در این بخش اگر custom data type کانفیگ کرده باشیم می توانیم در این قسمت از ان استفاده کنیم.
نکته :در صورتی که تگ <input> ما دیتایی خارج از مواردی که تعیین کردیم به عنوان ورودی بگیرد rule مورد نظر ما نقض خواهد شد.سپس در مسیر web protection -> input validation->parameter validation policy رفته و Rule خود را در policy اضافه کنید.
در نهایت parameter validation policy ایجاد شده را در web protection profile و متعاقبا در server policy اضافه کنید.