Project

General

Profile

Actions

ExtToolWaf

Αρχικά, ενημερώνουμε τα Dependences με την χρήση του composer:

composer.phar update

Στη συνέχεια, επισκεπτόμαστε τα εξωτερικά εργαλεία, επιλέγουμε το "Τείχος προστασίας εφαρμογής ιστού (WAF)",

επιλέγουμε ένα απο τα παραπάνω, ορίζουμε τα φίλτρα που θέλουμε να είναι ενεργά, και πατάμε "Αλλαγή¨. Να σημειωθεί, οτι ορισμένα φίλτρα προτείνεται να μη χρησιμοποιηθούν (όπως το φίλτρο με ID:1 το οποίο είναι απενεργοποιημένο απο Default), καθώς ενδέχεται να οδηγήσουν σε "False Positives".

Τέλος ενεργοποιούμε το εργαλείο.

Ο έλεγχος πραγματοποιείται στο αρχείο "init.php", πρίν την εκτέλεση άλλης λειτουργικότητας:

require_once 'modules/admin/extconfig/externals.php';
$connector = WafApp::getWaf();
if($connector->isEnabled() == true ){
    $output=$connector->check();
    if($output->status==$output::STATUS_BLOCKED){
        WafApp::block($output->output);
    }
}

για τον έλεγχο ορθής λειτουργίας, τοποθετήστε μία οποιαδήποτε είσοδο με χαρακτηριστικό επίθεσης, πχ modules/admin/extapp.php?lsls=<script>alert(1);</script>

θα πρέπει να λάβετε ένα μήνυμα που σας ενημερώνει οτι απαγορεύτηκε το αίτημα, με τα IDs των φίλτρων που εντόπισαν την επίθεση

Προτείνεται να ενεργοποιήσετε ένα σύνολο απο τα φίλτρα, και στη συνέχεια να δοκιμάσετε τις λειτουργίες της εφαρμογής με τις εισόδους που θα θέλατε να δέχεστε, και στην συνέχεια να απενεργοποιήσετε τα φίλτρα που σας απαγορεύουν τις εισόδους αυτές, χρησιμοποιώντας τα IDs που φαίνονται στο μήνυμα απαγόρευσης που παρουσιάζεται.

Updated by Ιωάννης Στάης about 5 years ago · 3 revisions