Ana içeriğe geç

Header

Hakkında

Header Genel Görünüm

Header sekmesi üzerinde yenir bir path eklendiğinde görünüm aşağıdaki gibidir. Header Genel Ayarı Ekle butonuna tıklanarak ilgili path için Header kontrolü açılır. Header Genel Ayarı Ekle butonuna tıklanmadan önce Kural Kaynağı > Tüm Path'ler olarak gözükmektedir. Bunun sebebi ilgili path üzerinde bir Header kontrolü yapılmadığından dolayı, Header kontrolü Tüm Path'ler den inherit edilmiş olmasıdır. Eğer bir Glob Path üzerinden inherit edilseydi Kural Kaynağı > İlgili Glob Path (/admin/login.*) şeklinde olurdu.

LOGO

Örnek Header Değişken Adı ve Değişken Değeri

LOGO

Arayüz

Header Genel Ayarı Ekleme Ekranı

LOGO

Header Genel Ayarı Ekleme Formu

- Virtual Host Group

İlgili path'in hangi Virtual Host Grubunda oluşturulduğunun bilgisi görüntülenir.

- Path

Değişiklik yapılan path'in bilgisi görüntülenir.

- Area

Değişiklik yapılan kontrol alanının bilgisi görüntülenir.

- Argument Name

Yapılan değişikliklerin tüm Header değişkenlerinde ve değerlerinde geçerli olacağının bilgisi görüntülenir.

- Header Key Length

Header'ın her bir değişkeninin uzunluğu, karakter sayısına göre filtrelenir.

- Header Key Count

Toplam header sayısı filtrelenir.

- Header Size

Header'ın toplam karakter sayısına göre filtrelenir.

- Allowed Header Arguments

İzinli Header değişkenleri, istek yapılan ilgili path'e gelebilecek olan Header'ları belirlemek için kullanılır. Girilen izinli Headerlar dışında hiçbir Header ile, ilgili path'e istek yapılamaz, bloklanır.

- Header Must Arguments

Zorunlu Header değişkenleri, istek yapılan ilgili path'de zorunlu olarak bulunması gereken değişkenler tanımlanır. İlgili path'e istekte zorunlu Header'lardan bir tanesi bile yok ise istek yapılamaz, bloklanır.

LOGO

Şekilde gösterilen izinli ve zorunlu değişkenleri şu şekilde açıklayabiliriz. İzinli olarak Host, Connection ve Accept-Encoding header'ları tanımlı. İstemci sadece Host, Connection ve Accept-Encoding header'ları ile istek yapabilir. Bunlar dışında farklı header'larla istek yapmaya çalıştığı zaman bloklanır. Zorunlu da ise Host ve Connection header'ları tanımlı. Böyle bir durumda istemci Host, Connection ve Accept-Encoding header'larını kullanabilir ancak Host ve Connection headerı olmadan istek yapamaz, bloklanır.

- Value Length

Header'ın her bir değişkeninin değer uzunluğu karakter sayısına göre filtrelenir.

- OWASP Check

Header'ın her bir değişken ve değerinin içerisinde OWASP kontrollerine tabi tutulup tutulmayacağı seçimi yapılır.

- OWASP Exclusions

OWASP kontrollerine tabi tutulması durumunda istenilen OWASP Kuralları gelen isteğin yapısına göre istisna olarak eklenebilir.

- Detailed Log

WAF logunda atak tespiti yapılan değişkenin veya değerin açıklama bölümüne yazılıp yazılmayacağını belirler.

- Value Regex Pattern

Header'ın her bir değişkeninin değerinin RegEx ile kısıtlamak istenilen durumlarda kullanılır.

- Max. Repeat

Aynı Header bilgisinin en fazla kaç kere tekrarlanabileceği belirlenir.

- Add

Add butonuna tıklanarak Header genel ayarı eklenir.

- Kontrol Alanı Eklendikten Sonra TR7 ASP Arayüzünde Gösterimi

Header kontrol alanı eklendikten sonra TR7 ASP arayüzünde gösterimi ilgili path'in üzerine tıklandığında aşağıdaki gibidir.

LOGO

Arayüz

Header Değişken Ayarı Ekleme Ekranı

Header Değişken Ayarı Ekle butonuna tıklanarak genel ayarda eklenen tanımlamalar haricinde belirli bir Header değişkenine özel olarak yeni tanımlamalar eklenebilir.

TR7 WAF tarafından özel olarak tanımlanmış olan özel Header değişken ayarları bulunmaktadır.

LOGO

LOGO

Header Değişken Ayarı Ekleme Formu

- Virtual Host Group

İlgili path'in hangi Virtual Host Grubunda oluşturulduğunun bilgisi görüntülenir.

- Path

Değişiklik yapılan path'in bilgisi görüntülenir.

- Area

Değişiklik yapılan kontrol alanının bilgisi görüntülenir.

- Argument Name

Yapılan değişikliklerinin tek bir Header için özel olarak tanımlanacağı için ilgili Header'ın adı girilir.

- Value Length

Belirlenen Header'ın değer uzunluğu karakter sayısına göre filtrelenir.

- OWASP Check

Belirlenen Header'ın değişken ve değerinin içerisinde OWASP kontrollerine tabi tutulup tutulmayacağı seçimi yapılır.

- OWASP Exclusions

OWASP kontrollerine tabi tutulması durumunda istenilen OWASP Kuralları gelen isteğin yapısına göre istisna olarak eklenebilir.

- Detailed Log

WAF logunda atak tespiti yapılan değişkenin veya değerin açıklama bölümüne yazılıp yazılmayacağını belirler.

- Value Regex Pattern

Belirlenen Header'ın değişken değerini RegEx ile kısıtlamak istenilen durumlarda kullanılır.

- Max. Repeat

Aynı Header adının en fazla kaç kere tekrarlanabileceği belirlenir.

- Add

Add butonuna tıklanarak Header değişken ayarı eklenir.