Güvenlik Şablonları nasıl yapılandırılır?


Workcube uygulamalarının güvenliğini arttırmak için Plevne WAS çalışır. Plevne WAS ile birlikte çalışan Güvenlik şablonları sisteminizin güvenliği için gelen verileri kontrol ederek riskli içerikleri engellemeye çalışır.


Güvenlik Şablonları ile sisteme gelen tüm veriler (GET, POST gibi) bir filtreden geçerek modüllere ulaşır. İstek (Request) seviyesinde çalışan güvenlik şablonları olası bir istenmeyen veri ile karşılaştığında isteği durdurur (Drop Request). Böylece sistem gelen veriyi işlemeden veya kayıtlara geçmeden önce engellemiş olur.


Neden istek filtreleme (Request Filter) yapılır?

İstek filtreleme web tabanlı uygulamalarda kullanılan yaygın bir yöntemdir. Bu yöntem güvenlik duvarları (Firewall) ile aynı mantıkla çalışmaktadır. Güvenlik duvarları uygulama sunucusuna gelmeden istekleri inceler ve gerekli gördüğü durumlarda veriyi uygulama sunucusuna ulaşmadan engeller. Ancak günümüzde güvenlik duvarlarını uygulamalar için özelleştirmek hem zor yapılandırmaları içerir hem de yönetimi yüksek maliyetlere sebep olur.

*Bu güvenlik duvarı kullanmanıza karşı tavsiye değildir, güvenlik duvarları tüm networkü korumayı hedefler.

Güvenlik şablonları ile uygulama seviyesinde istek filtreleme artık Workcube üzerinde dinamik hale getirilmiştir. Güvenik şablonları düzenli ifade (Regular Expression) kurallarına göre uygulanır. Güvenlik şablonları "Güvenlik" bölümü altında bulunur. Güvenlik şablonları ekranında üç grupta şablon eklenebilir;

Standart Şablonu

Bu şablon standart kullanım için planlanmış şablondur. Standart şablon Light ve Dark şablonları da otomatik içerir. En çok kurala ve en yaygın kullanıma yöneliktir. Bu şablona örneğin metin içeriklerinde geçebilecek zararlı veya istenmeyen kelimeler girilebilir, örneğin

onclick
alter
div

Bu kelimelerin içinde geçtiği istekler durdurulacaktır. Ayrıca standart şablon diğer tipte ki şablonları da kapsar.

Light Şablonu

Standart şablondan biraz daha detaylı kurallar tanımlamak içindir. Örneğin 

onclick=".*body.*"
alter\s+table
<script

Bu düzenli ifadeler ve kelimelerin geçtiği istekler ile dark tipindeki şablonlarıda kapsar.

Dark Şablonu

Bu şablon en katı kuralların olması gerektiği şablondur. Html veya kod gönderiminin yapıldığı ekranlarda düşürülecek seviye olmalıdır. Daha çok injection olma ihtimali yüksek veya cross site attack için eklenmeye çalışılan kodları tespit etmelidir. Örneğin

'--[\s\w]+
src="http[s]*://[www]*[^workcube.com].*"

Workcube objeleri güvenlik seviyesi olarak bu şablonlardan biri seçilerek çalıştırılır. Eğer bir WO içerisinden gelen verinin html veya sql gibi kodlar içerdiğinden eminseniz ilgili WO nun seviyesini düşürebilirsiniz. Ancak bu durum sizin için bir risk olduğunu unutmamalısınız. 


İleri seviye implementasyon ve danışamlık hizmeti için Workcube sertifikalı iş ortaklarından hizmet almalısınız.


Geri Bildirim

Bu içeriği faydalı buldunuz mu?