• Ecology系統安全配置說明-選讀 - 圖文 - 下載本文

    Ecology系統安全配置說明

    這里配置不需要進行xss過濾的地址。

    配置文件:WEB-INF/securityXML/weaver_security_custom_rules_1.xml

    xss-filter-list配置需要被過濾的關鍵字,列表中的關鍵字都會被替換為空字符串。

    1.5.1.20 SQL注入攻擊相關

    相關參數:skip-rule、base、special-non、special-reg 配置文件:WEB-INF/ weaver_security_config.xml

    該值確定是否跳過SQL注入攻擊檢查,取值false|true,默認為false,開啟SQL注入檢查。設置為true,則不進行SQL注入檢查。只有當該值設置為false時,其他參數才有效。

    配置文件:WEB-INF/securityXML/weaver_security_custom_rules_1.xml

    通用規則列表。多個rule間or關系,只要有一條符合,則該參數存在SQL注入攻擊風險,系統會停止業務邏輯的進行,返回錯誤信息。

    配置文件:WEB-INF/securityXML/weaver_security_custom_rules_1.xml

    special-non和special-reg用于配置特殊規則,使得某些由于業務需要而無法通過通用規則檢

    Ecology系統安全配置說明

    查的參數能夠正常運轉。

    special-rule節點配置了特殊規則定義,后面設置具體參數的特殊規則時,可以直接飲用這里定義的規則即可。

    rule節點間是And關系,即參數值必須滿足這里所有的rule,才能通過SQL注入檢查。

    special-non中配置固定參數規則,special-reg中配置動態參數規則。

    圖一

    圖二

    圖一即配置的是固定參數規則,參數名是確定的。圖二配置的是動態參數規則,即參數名不確定,但具有一定的規則。

    Ecology系統安全配置說明

    1.5.1.21 特殊規則配置說明

    /formmode/browser/CommonMultiBrowser.jsp sqlwhere ##sqlkeyword1## :配置參數接收的URL地址。

    :同一個URL中的多個參數都配置到該節點下。 :每個param節點對應一個參數的信息。 -》:該節點配置的是參數名。

    :配置或者引用該參數應該滿足的規則,多個rule間是and關系。

    1.5.2 其他事項

    隨著不斷發現漏洞,會不斷地完善規則庫及防火墻功能。





    日本黄色视频在线观看 - 在线观看 - 影视资讯 - 品尚网