Ana içeriğe geç

Form

Hakkında

Form Genel Görünüm

Form sekmesi üzerinde yenir bir path eklendiğinde görünüm aşağıdaki gibidir. Form Genel Ayarı Ekle butonuna tıklanarak ilgili path için Form kontrolü açılır. Artık bu path'e Form içerikli bir istek yapıldığında eklenmiş olan kurallar çerçevesinde WAF kurallarına tabi tutulur. Form Genel Ayarı Ekle butonuna tıklanmadan önce Kural Kaynağı > Tüm Path'ler olarak gözükmektedir. Bunun sebebi ilgili path üzerinde bir Form kontrolü yapılmadığından dolayı, Form kontrolü Tüm Path'ler den inherit edilmiş olmasıdır. Eğer bir Glob Path üzerinden inherit edilseydi Kural Kaynağı > İlgili Glob Path (/admin/login.*) şeklinde olurdu.

LOGO

Örnek Form Değişken Adı ve Değişken Değeri

Form isteklerinde temel olarak en çok kullanılan 2 tip Form çeşidi vardır.

LOGO

Varsayılan olarak kullanılmaktadır. Tüm karakterler gönderilmeden önce şifrelenerek gönderilir. (Boşluklar “+” işaretine dönüştürülür ve özel karakterler ASCII HEX değerlerine dönüştürülür.) Burada istekler payload’da key=value (a=1) şeklinde gelmektedir.

LOGO

Form aracılığıyla bir dosya yükleme işlemi yapılacaksa “multipart/form-data” kullanılır.

Arayüz

Form Genel Ayarı Ekleme Ekranı

LOGO

Form Genel Ayarı Ekleme Formu

- Virtual Host Group

İlgili path’in hangi Virtual Host Grubunda oluşturulduğunun bilgisi görüntülenir.

- Path

Değişiklik yapılan path'in bilgisi görüntülenir.

- Area

Değişiklik yapılan kontrol alanının bilgisi görüntülenir.

- Argument Name

Yapılan değişikliklerin tüm Form değişkenlerinde ve değerlerinde geçerli olacağının bilgisi görüntülenir.

- Form Key Length

Form içeriğinin her bir değişkeninin uzunluğu, karakter sayısına göre filtrelenir.

- Form Key Count

Form içerisinde geçebilecek toplam değişken sayısına göre filtrelenir.

- Block All Form Content

İlgili path’e hiçbir Form içeriği gönderilemez, bloklanır.

- Block Invalid Form Content

İlgili path’e "parse" edilemeyen (ayrıştırılamayan) Form içerikleri gönderilemez, bloklanır.

- Form Allowed Arguments

İzinli Form değişkenleri, istek yapılan ilgili path’e gelebilecek olan değişkenleri belirlemek için kullanılır. Girilen izinli değişkenler dışında hiçbir değişkenle, ilgili path’e istek yapılamaz, bloklanır.

- Form Must Arguments

Zorunlu Form değişkenleri, istek yapılan ilgili path’de zorunlu olarak bulunması gereken değişkenler tanımlanır. İlgili path’e istekte zorunlu Form değişkenlerinden bir tanesi bile yok ise istek yapılamaz, bloklanır.

- Allowed Upload Mime Types

İzinli Upload Mime Türleri, multipart/form-data tipindeki isteklerde kullanılır. Form içerisinde upload edilen mime türleri kısıtlanmak isteniyor ise, kısıtlama moduna geçilip izin verilecek olan mime türlerinin isimler yazılır. Belirlenen mime türlerinin upload edilen dosyanın hesaplanan gerçek mime türü bilgisi içerisinde geçip geçmediği kontrol edilir.

Örnek olarak kısıtlama moduna geçilip image yazıldığında, içerisinde image geçen tüm mime türlerine izin verilir. image dışında başka bir mime türü ile istek gelemez, bloklanır.

- OWASP Check in Upload

Upload İçerisinde OWASP Kontrolü, multipart/form-data tipindeki isteklerde kullanılır. Form içerisinde upload edilen dosyanın ve içeriklerinin OWASP kontrollerine tabi tutulup tutulmayacağının seçimi yapılır.

- Value Length

Form içeriğinin her bir değişkeninin değer uzunluğu karakter sayısına göre filtrelenir.

- OWASP Check

Form içeriğinin her bir değişken ve değerinin içerisinde OWASP kontrollerine tabi tutulup tutulmayacağı seçimi yapılır.

- OWASP Exclusions

OWASP kontrollerine tabi tutulması durumunda istenilen OWASP Kuralları gelen isteğin yapısına göre istisna olarak eklenebilir.

- Detailed Log

WAF logunda atak tespiti yapılan değişkenin veya değerin açıklama bölümüne yazılıp yazılmayacağını belirler.

- Value Regex Pattern

Form içeriğinin her bir değişkeninin değerinin RegEx ile kısıtlamak istenilen durumlarda kullanılır.

- Max. Repeat

Aynı Form değişken adının en fazla kaç kere tekrarlanabileceği belirlenir.

- Add

Add butonuna tıklanarak Form genel ayarı eklenir.

- Kontrol Alanı Eklendikten Sonra TR7 ASP Arayüzünde Gösterimi

Form kontrol alanı eklendikten sonra TR7 ASP arayüzünde gösterimi ilgili path'in üzerine tıklandığında aşağıdaki gibidir.

LOGO

Arayüz

Form Değişken Ayarı Ekleme Ekranı

Form Değişken Ayarı Ekle butonuna tıklanarak genel ayarda eklenen tanımlamalar haricinde belirli bir Form değişkenine özel olarak yeni tanımlamalar eklenebilir.

LOGO

Form Değişken Ayarı Ekleme Formu

- Virtual Host Group

İlgili path’in hangi Virtual Host Grubunda oluşturulduğunun bilgisi görüntülenir.

- Path

Değişiklik yapılan path'in bilgisi görüntülenir.

- Area

Değişiklik yapılan kontrol alanının bilgisi görüntülenir.

- Argument Mame

Yapılan değişikliklerinin tek bir Form değişkenine özel olarak tanımlanacağı için ilgili Form değişkeninin adı girilir.

- Value Length

Belirlenen Form değişkeninin değer uzunluğu karakter sayısına göre filtrelenir.

- OWASP Check

Belirlenen Form değişkeninin, değişken ve değerinin içerisinde OWASP kontrollerine tabi tutulup tutulmayacağı seçimi yapılır.

- OWASP Exclusions

OWASP kontrollerine tabi tutulması durumunda istenilen OWASP Kuralları gelen isteğin yapısına göre istisna olarak eklenebilir.

- Detailed Log

WAF logunda atak tespiti yapılan değişkenin veya değerin açıklama bölümüne yazılıp yazılmayacağını belirler.

- Value Regex Pattern

Belirlenen Form’nin değişken değerini RegEx ile kısıtlamak istenilen durumlarda kullanılır.

- Max. Repeat

Aynı Form değişken adının en fazla kaç kere tekrarlanabileceği belirlenir.

- Add

Add butonuna tıklanarak Form değişken ayarı eklenir.

- Form Değişken Ayarının TR7 ASP Arayüzünde Gösterimi

Form değişken ayarı eklendikten sonra TR7 ASP arayüzünde gösterimi ilgili path'in üzerine tıklandığında aşağıdaki gibidir.

LOGO