Gestionnaire de configuration - Protection des scripts intersite
Utilisez le noeud Protection des scripts intersite du Gestionnaire de configuration pour activer ou désactiver la fonction de protection des scripts intersite. Lorsqu'elle est activée, cette fonction rejette toutes les demandes de
l'utilisateur contenant des attributs ou des chaînes déclarés comme non admissibles. Vous pouvez préciser ces attributs
ou chaînes dans ce noeud du Gestionnaire de configuration. Vous pouvez également exclure des instructions de la fonction de protection des scripts intersite en autorisant les valeurs des attributs spécifiés pour cette instruction donnée à contenir des chaînes non admises. La fonction Protection des scripts intersite est désactivée par défaut.
Avertissement : La protection des scripts intersite est une fonction limitative car elle va restreindre l'exécution d'instructions basées sur la configuration. Cette fonction ne vérifie pas quels attributs ou chaînes ont été interdits. Par conséquent, lorsque vous la configurez, assurez-vous que les attributs interdits ne sont pas utilisés par les instructions. Vérifiez également que les chaînes interdites ne sont pas des valeurs qui sont généralement transmises aux instructions. Soyez extrêmement attentifs lors de la configuration de cette fonction.
Pour activer cette fonction, procédez comme suit :
- Démarrer le Gestionnaire de paiement et déplacez-vous jusqu'au noeud Protection de scripts intersite de votre instance, comme indiqué ci-après :
WebSphere Commerce > nom_hôte >
Liste des instances > nom_instance > Propriétés de l'instance
> Protection des scripts intersite
- Utilisez l'onglet Généralités pour activer la fonction de protection des scripts intersite, en procédant comme suit:
- Cliquez sur Activer.
- Pour ajouter des attributs que vous souhaitez interdire dans les instructions de WebSphere Commerce, cliquez à
l'aide du bouton droit de la souris sur la table des attributs interdits et sélectionnez Ajouter
ligne. Ajoutez l'attribut que vous souhaitez interdire. Vous pouvez indiquer uniquement un attribut par ligne.
- Pour supprimer des attributs de la table des attributs interdits, sélectionnez la ligne contenant
l'attribut dans la table et cliquez dessus à l'aide du bouton droit de la souris, puis sélectionnez Supprimer
ligne.
- Pour ajouter des chaînes que vous souhaitez interdire dans les instructions de WebSphere Commerce, cliquez à l'aide du bouton droit de la souris sur la table des caractères interdits et sélectionnez Ajouter ligne. Ajoutez les caractères que vous souhaitez interdire. Vous ne pouvez indiquer qu'une chaîne par ligne.
- Pour supprimer des caractères de la table des attributs interdits, sélectionnez la ligne contenant le
caractère dans la table des caractères interdits et cliquez dessus à l'aide du bouton droit de la souris, puis
sélectionnez Effacer ligne.
Remarque : les chaînes suivantes sont spécifiées par défaut dans les zones de définition de
caractères interdits. Ces chaînes sont le plus souvent utilisées comme marque de scriptage lors d'attaques de scriptage intersite :
- "<SCRIPT"
- "<SCRIPT"
- "<%" et "<%"
- L'onglet Avancé vous permet d'exclure les instructions WebSphere Commerce
de la fonction de protection intersite en autorisant les valeurs des attributs spécifiés pour cette instruction donnée à contenir des chaînes non admises. Pour ce faire, procédez comme suit :
- Sélectionnez les instructions dans la zone Liste des commandes.
- Saisissez une liste d'attributs, séparés par des virgules, pour lesquels les caractères interdits sont autorisés dans la fenêtre Liste des attributs exclus et cliquez sur Ajouter.
- Pour supprimer une instruction avec ses attributs, sélectionnez l'instruction dans la fenêtre Liste des
commandes exclues et cliquez sur Supprimer.
Vous pouvez également supprimer des attributs spécifiques d'une instruction en sélectionnant l'attribut et
en cliquant sur Supprimer.
- Pour valider vos modifications dans le Gestionnaire de configuration, cliquez sur Valider.
- Si la mise à jour de la configuration de votre instance est réussie, vous recevrez un message indiquant une mise à jour réussie.
- A partir de la console d'administration WebSphere Application Server, arrêtez puis redémarrer l'instance WebSphere Application Server.
Remarques :
- Lorsque des instructions sont exclues de la protection des scripts intersite, les valeurs des attributs spécifiés sont encodées à l'aide de l'encodage HTML des symboles. Par exemple, l'instruction cmd1?user=<Thomas> est encodée sous la forme cmd1?user=<Thomas>
- Lorsque vous spécifiez une chaîne dans les zones de définition de caractères interdits, tenez compte des points suivants :
- Une suite de caractères donnée peut entraîner la conversion de la chaîne en un seul caractère, conformément aux normes de codage URL. Par exemple, la chaîne "<%bb" est convertie en une chaîne "<X" où X est un caractère unique dont la représentation hexadécimale est HEX 'bb' (décimal 187). Dans ce cas, la chaîne "<%bb" n'est pas interceptée par la fonction de protection des scripts intersite si elle est transmise dans une URL.
- Une suite de caractères donnée peut entraîner l'échec de la conversion de la chaîne si les caractères ne sont pas conformes aux normes de codage URL. Par exemple, la chaîne "<%gg" entraîne l'échec de la conversion car HEX 'gg' n'est pas une représentation hexadécimale valide. Dans ce cas, la chaîne
"<%gg" provoque une exception et aucune réponse n'est renvoyée pour toute demande d'URL contenant une telle chaîne, que la fonction de protection des scripts intersite soit activée ou non.
Exemple : Regardez les exemples suivants :
- Chaînes interdites : "<SCRIPT", "<%"
Attributs interdits : mycomment, description
Instruction |
Etat |
cmd1?description=Disponible ... |
refusé |
cmd2?userid=Thomas... |
autorisé |
cmd3?mycomment=<SCRIPT>... |
refusé |
cmd4?password=<%...%>... |
refusé |
- Si vous souhaitez autoriser l'attribut "text" de l'instruction cmd1 à contenir des chaînes interdites ("<SCRIPT", "<%") mais ne pas y autoriser d'autres attributs, par exemple "txt", vous pouvez exclure cmd1 et indiquer "text" en tant qu'attribut d'exception.
Instruction |
Etat |
cmd1?text=<SCRIPT>... |
autorisé |
cmd1?text=<%...%>... |
autorisé |
cmd1?txt=<SCRIPT>... |
refusé |
cmd1?txt=<%..%>... |
refusé |
