Gestor de configuración - Protección contra la vulnerabilidad
Cross Site Scripting
Utilice el nodo de Protección contra la vulnerabilidad Cross
Site Scripting del Gestor de
configuración para habilitar o inhabilitar la característica de
dicha protección. Cuando está habilitada, esta característica
rechaza las peticiones de usuario que contienen atributos o series que
se han designado como no permitidos. Puede especificar los atributos y
las series inhabilitadas en este nodo del Gestor de
configuración. También puede excluir mandatos de la protección
contra la vulnerabilidad Cross Site Scripting
permitiendo que los valores de atributos específicos para
ese mandato particular contengan series prohibidas. Por
omisión, esta característica está inhabilitada.
Aviso: La protección contra la vulnerabilidad
Cross Site Scripting es
una característica restrictiva ya que limita la ejecución de los mandatos
basándose en la configuración. La característica no comprueba los
atributos o series que se han definido como prohibidas, por lo que al
configurarlas, asegúrese de que los atributos prohibidos no son los que
utilizan los mandatos. Asegúrese también de que las series prohibidas no
sean valores que se pasen normalmente a los mandatos.
Configure esta característica con mucha precaución.
Para habilitar esta característica:
- Invoque el Gestor de configuración y vaya al nodo de
Protección contra la vulnerabilidad Cross Site Scripting para su
instancia, de la forma siguiente:
WebSphere Commerce > nombre_sistpral >
Lista de instancias > nombre_instancia > Propiedades de la instancia
> Protección contra la vulnerabilidad Cross Site
Scripting
- Utilice la pestaña General para activar esta característica, de la
manera siguiente:
- Pulse Habilitar.
- Para añadir atributos que desea inhabilitar para mandatos de
WebSphere Commerce, pulse el botón derecho del ratón en la tabla Atributos
prohibidos y seleccione Añadir fila. Escriba
los atributos que desee inhabilitar. Sólo puede especificar un
atributo por fila.
- Para eliminar atributos de la tabla Atributos prohibidos,
resalte y pulse el botón derecho del ratón en la línea que contiene el
atributo en la tabla y seleccione Suprimir fila.
- Para añadir series que desea inhabilitar para mandatos
de WebSphere Commerce, pulse el botón derecho del ratón en la tabla
Caracteres prohibidos y seleccione Añadir fila.
Añada la serie que desee inhabilitar. Sólo puede especificar una
serie por fila.
- Para eliminar caracteres de la tabla Caracteres prohibidos,
resalte y pulse el botón derecho del ratón en la línea que contiene el
carácter en la tabla Caracteres prohibidos y seleccione Suprimir
fila.
Nota: Las series siguientes se especifican por
omisión en los campos de caracteres prohibidos. Estas series se utilizan
normalmente como códigos de script en los ataques malintencionados al
sitio (Cross Site Scripting):
- "<SCRIPT"
- "<SCRIPT"
- "<%" y "<%"
- Utilice la pestaña Avanzada para excluir mandatos de WebSphere
Commerce de la Protección contra la vulnerabilidad Cross Site
Scripting permitiendo que los valores de atributos específicos para ese
mandato particular contengan series prohibidas. Para ello:
- Seleccione los mandatos en el cuadro Lista de mandatos.
- Escriba una lista de atributos, separados por
comas, para los que se permiten caracteres prohibidos en la ventana
Lista de atributos excluidos y pulse Añadir.
- Para eliminar un mandato junto con sus atributos, seleccione el
mandato en la ventana Lista de mandatos excluidos y pulse
Eliminar.
También puede eliminar atributos específicos de un mandato
seleccionando el atributo y pulsando Eliminar.
- Para aplicar los cambios en el Gestor de configuración, pulse
Aplicar.
- Después de actualizar satisfactoriamente la configuración de su
instancia, recibirá un mensaje indicando una actualización satisfactoria.
- Desde la Consola de administración de WebSphere Application
Server, detenga la instancia de WebSphere
Commerce Server y, a continuación, vuelva a iniciarla.
Notas:
- Cuando se excluyen mandatos de la
protección contra la vulnerabilidad Cross Site Scripting, los valores de
los atributos especificados se codificarán utilizando la codificación
HTML de símbolos. Por ejemplo, el mandato
cmd1?user=<Thomas> se codifica como cmd1?user=<Thomas>
- Cuando especifique la serie en los campos de caracteres
prohibidos, tenga en cuenta que:
- Una secuencia específica de caracteres puede hacer que una
serie se convierta en un solo carácter, de acuerdo con las normas de
codificación URL. Por ejemplo, la serie "<%bb" se
convertiría en una serie "<X" donde X es un solo
carácter que tiene un valor de representación
hexadecimal de HEX 'bb' (decimal 187). En este caso, la serie
"<%bb" no sería detectada por la protección contra la
vulnerabilidad Cross Site Scripting si se pasara en un URL.
- Una secuencia específica de caracteres puede hacer que
falle la conversión de una serie si no satisface las normas de
codificación URL. Por ejemplo, la serie
"<%gg" haría que la conversión fallara puesto que HEX 'gg'
no es una representación válida de valor hexadecimal.
En este caso, la serie "<%gg" provocaría una
excepción, causando la no respuesta de la petición de URL que tuviera
esta serie, tanto si la protección contra vulnerabilidad Cross Site
Scripting estuviera habilitada como si no.
Ejemplo: Observe los ejemplos siguientes:
- Series prohibidas: "<SCRIPT",
"<%"
Atributos prohibidos: mycomment, description
Mandato |
Estado |
cmd1?description=Available
... |
rechazado |
cmd2?userid=Thomas... |
aceptado |
cmd3?mycomment=<SCRIPT>... |
rechazado |
cmd4?password=<%...%>... |
rechazado |
- Si desea permitir que el atributo "text" del mandato
cmd1 pueda contener series prohibidas
("<SCRIPT", "<%"), y no en el caso
de otros atributos como, por ejemplo, el atributo
"txt", puede excluir cmd1 y especificar "text" como el atributo excluido.
Mandato |
Estado |
cmd1?text=<SCRIPT>... |
aceptado |
cmd1?text=<%...%>... |
aceptado |
cmd1?txt=<SCRIPT>... |
rechazado |
cmd1?txt=<%..%>... |
rechazado |
