Konfigurationsmanager - Site-übergreifender Scripting-Schutz
Verwenden Sie den Knoten für Site-übergreifenden Scripting-Schutz des
Konfigurationsmanagers zum Aktivieren bzw. Inaktivieren der Site-übergreifenden
Scripting-Schutzfunktion. Im aktivierten Zustand weist diese Funktion alle Benutzeranforderungen zurück, die als unzulässig ausgewiesene Attribute oder Zeichenfolgen enthalten. Sie können diese unzulässigen Attribute und
Zeichenfolgen in diesem Knoten auf dem Konfigurationsmanager angeben. Sie können auch Befehle von der Site-übergreifenden Scripting-Schutzfunktion ausschließen, indem Sie zulassen, dass die Werte für angegebene Attribute für diesen bestimmten Befehl unzulässige Zeichenfolgen enthalten. Die Site-übergreifende Scripting-Schutzfunktion ist standardmäßig inaktiviert.
Achtung: Der Site-übergreifende Scripting-Schutz ist eine einschränkende Funktion, die die Ausführung der Befehle auf der Basis der Konfiguration einschränkt. Die Funktion prüft nicht, welche Attribute oder Zeichenfolgen als unzulässig definiert wurden; stellen Sie beim Konfigurieren deshalb sicher, dass es sich bei den von den Befehlen verwendeten Attributen nicht um unzulässige Attribute handelt. Stellen Sie außerdem sicher, dass es sich bei den unzulässigen Zeichenfolgen nicht um Werte handelt, die normalerweise an die Befehle weitergegeben werden. Gehen Sie beim Konfigurieren dieser Funktion mit äußerster Vorsicht vor.
Gehen Sie folgendermaßen vor, um diese Funktion zu aktivieren:
- Rufen Sie den Konfigurationsmanager auf, und wechseln Sie zum Knoten für Site-übergreifenden Scripting-Schutz, indem Sie wie folgt vorgehen:
WebSphere Commerce > hostname >
Exemplarliste > exemplarname > Exemplareigenschaften > Site-übergreifender Scripting-Schutz
- Verwenden Sie die Registerkarte Allgemein, um die Site-übergreifende Scripting-Schutzfunktion aufzurufen. Gehen Sie hierzu wie folgt vor:
- Klicken Sie Aktivieren an.
- Um Attribute hinzuzufügen, die für WebSphere Commerce-Befehle nicht zugelassen werden sollen, klicken Sie die Tabelle Unzulässige Attribute mit der
rechten Maustaste an und wählen Sie Zeile hinzufügen aus. Geben Sie das Attribut
ein, das nicht zugelassen werden soll. Sie können nur ein Attribut pro Zeile angeben.
- Um Attribute aus der Tabelle Unzulässige Attribute zu entfernen, heben Sie in der Tabelle die Zeile, die das Attribut enthält, hervor, klicken Sie sie mit der rechten Maustaste an und wählen Sie anschließend Zeile löschen aus.
- Um Zeichenfolgen hinzuzufügen, die für WebSphere-Befehle nicht zugelassen werden sollen, klicken Sie die Tabelle Unzulässige Zeichen mit der rechten Maustaste an und wählen Sie Zeile hinzufügen aus. Fügen Sie die Zeichenfolge hinzu, die nicht zugelassen werden soll. Sie können lediglich eine Zeichenfolge pro Zeile angeben.
- Um Zeichen aus der Tabelle Unzulässige Zeichen zu entfernen, heben Sie in der Tabelle die Zeile, die das Zeichen enthält, hervor, klicken Sie sie mit der rechten Maustaste an und wählen sie anschließend Zeile löschen aus.
Hinweis: Die folgenden Zeichenfolgen sind standardmäßig in den Feldern für unzulässige Zeichen angegeben. Diese
Zeichenfolgen werden am häufigsten als Scripting-Anweisungen in
böswilligen Site-übergreifenden Scripting-Attacken verwendet:
- "<SCRIPT"
- "<SCRIPT"
- "<%" und "<%"
- Verwenden Sie die Registerkarte Erweitert, um WebSphere Commerce-Befehle vom Site-übergreifenden Scripting-Schutz auszuschließen, indem Sie zulassen, dass die Werte der angegebenen Attribute für diesen bestimmten Befehl unzulässige Zeichenfolgen enthalten. Gehen Sie hierzu wie folgt vor:
- Wählen Sie die Befehle aus dem Fenster Befehlsliste aus.
- Geben Sie eine Liste durch Kommas getrennter Attribute ein, für die unzulässige Zeichen im Fenster Liste der Attribute mit Ausnahmebedingung zugelassen werden, und klicken Sie Hinzufügen an.
- Um einen Befehl zusammen mit dessen Attributen zu entfernen, wählen Sie den Befehl im Fenster Liste der Befehle mit Ausnahmebedingung aus und klicken Sie
Entfernen an.
Sie können außerdem bestimmte Attribute aus einen Befehl entfernen, indem Sie das Attribut auswählen und
Entfernen anklicken.
- Um Ihre Änderungen auf den Konfigurationsmanager anzuwenden, klicken Sie
Anwenden an.
- Nach der erfolgreichen Aktualisierung der Konfiguration für Ihr Exemplar erhalten Sie eine Nachricht, die die erfolgreiche Aktualisierung meldet.
- Stoppen Sie das Exemplar über die Verwaltungskonsole des WebSphere-Anwendungs-Servers, und starten Sie das
WebSphere Commerce Server-Exemplar anschließend erneut.
Hinweise:
- Wenn Befehle aus dem Site-übergreifenden Scripting-Schutz
ausgeschlossen werden sollen, werden die Werte von angegebenen Attributen
mit Hilfe der HTML-Symbolcodierung verschlüsselt. Der Befehl 'cmd1?user=<Thomas>' wird beispielsweise als
'cmd1?user=<Thomas>' verschlüsselt.
- Beachten Sie beim Angeben der Zeichenfolge in den Feldern für unzulässige Zeichen Folgendes:
- Eine bestimmte Reihenfolge von Zeichen kann dazu führen, dass die Zeichenfolge gemäß der URL-Codierungsstandards in ein einzelnes Zeichen umgewandelt wird. So würde die Zeichenfolge "<%bb" beispielsweise in eine Zeichenfolge
"<X" umgewandelt, wobei X ein einzelnes Zeichen ist, das einen hexadezimalen Darstellungswert von HEX 'bb' (dezimal 187) hat. In diesem Fall wird die Zeichenfolge "<%bb" bei der Übergabe in eine URL nicht vom Site-übergreifenden Scripting-Schutz erfasst.
- Eine bestimmte Reihenfolge von Zeichen kann zum Fehlschlagen der Zeichenfolgeumwandlung führen, wenn die Zeichen nicht den URL-Codierungsstandards entsprechen. So würde die Zeichenfolge "<%gg" beispielsweise zum Fehlschlagen der Umwandlung führen, da HEX 'gg' keine gültige Darstellung eines Hexadezimalwerts ist. In diesem Fall führt die Zeichenfolge "<%gg" zu einer Ausnahmebedingung, woraufhin die URL-Anforderung, die eine solche
Zeichenfolge enthält, ohne Antwort bleibt, unabhängig davon, ob der Site-übergreifende
Scripting-Schutz aktiviert ist.
Beispiel: Betrachten Sie die folgenden Beispiele:
- Unzulässige Zeichenfolgen: "<SCRIPT",
"<%"
Unzulässige Attribute: mycomment, description
Befehl |
Status |
cmd1?description=Available
... |
zurückgewiesen |
cmd2?userid=Thomas... |
akzeptiert |
cmd3?mycomment=<SCRIPT>... |
zurückgewiesen |
cmd4?password=<%...%>... |
zurückgewiesen |
- Wenn Sie zulassen möchten, dass nur das Attribut "text" des Befehls 'cmd1' unzulässige Zeichenfolgen ("<SCRIPT", "<%") enthalten kann, nicht jedoch andere Attribute wie beispielsweise "txt", können Sie den Befehl 'cmd1' ausschließen und "text" als das Ausnahmeattribut angeben.
Befehl |
Status |
cmd1?text=<SCRIPT>... |
akzeptiert |
cmd1?text=<%...%>... |
akzeptiert |
cmd1?txt=<SCRIPT>... |
zurückgewiesen |
cmd1?txt=<%..%>... |
zurückgewiesen |
