قابلیت Start Page مشابه Page Access هست که در آموزش قبلی به آن پرداختیم؛ با این تفاوت که مشخص می کنیم اگر Session جدید ایجاد شد دسترسی وی از طریق پیجی باشد که ما مشخص کرده ایم.

به طور مثال اگر کاربر آدرس پیج Modify رو داشت و مستقیم وارد مرور گر کرد اجازه دسترسی نداشته باشه و حتما قبل از آن وارد پیج Login شده باشد.

حتی می توانیم کاربر را به صفحه Login هدایت کنیم.

در فورتی وب با استفاده از Start Page یک پیج را مشخص می کنیم که اگر Session جدید با هر آدرسی درخواست داد، به این صفحه منتقل شود.

به طور مثال اگر کاربری آدرس صفحه زیر را داشت و آن را به طور مستقیم وارد کرد او را به صفحه Login هدایت می کنیم.

هدایت به صفحه مورد نظر توسط Start Page

پیاده سازی Start Page

برای پیاده سازی این قابلیت، در فورتی وب وارد بخش Web Protection Profile شده و در قسمت Access گزینه Start Page را می زنیم.

Start Page در بخش Access

با ورود به این بخش با پیغامی مواجه می شوید که از شما خواسته است گزینه session management در Web Protection Profile را فعال کنید.

با استفاده از Cookie Session فورتی وب عملکرد کاربر را رهگیری می کند.

هشدار برای فعال کردن گزینه session management

پس از زدن گزینه Create New وارد صفحه زیر شده و یک نام در نظر می گیریم.

قسمت Action

برای این گزینه می توانیم Action های مختلف را در نظر بگیریم. که آنها را توضیح می دهیم:

  • Alert: فقط Log تولید می کند.
  • Alert & Deny: یک Log تولید می کند و دسترسی کاربر گرفته می شود.
  • Deny: این گزینه Log تولید نمی کند و فقط جلوی دسترسی را می گیرد.
  • Period Block: به مدت زمانی که مشخص کرده ایم دسترسی کاربر را محدود می کند.
  • Redirect: کاربر را به صفحه مورد نظر هدایت می کند.
  • Send 403 Forbidden: این Error را برای کاربر ارسال می کند.
بخش های مختلف Start Page

قسمت Severity

شدت را مشخص می کند که در هنگام پیش آمدن این موضوع Log را با چه سطحی ارسال کند.

قسمت Trigger Policy

این گزینه را نیز در قسمت های قبل توضیح دادیم.

در انتها دکمه OK را بزنید.

سایر گزینه های Start page

در این قسمت هشداری قرار داده اند که Action ریدایرکت را باید به عنوان Default Page در قسمت پایین تعریف کنیم.

هشدار برای قرار دادن به عنوان Default Page

در ادامه Create New پایین را می زنیم. در صفحه جدید موارد زیر را به این صورت قرار می دهیم.

Host Status

در قسمتهای قبلی آموزش گفته بودیم که Host Status را در صورتی فعال می کنیم که بخواهیم برای یک فیلد خاص فعال شود.

در این بخش نیاز داریم که Host Status فعال شود و Host مورد نظر (owasp.ir) را انتخاب کنیم.

تفاوت فعال یا غیرفعال بودن این گزینه را در ادامه با ذکر یک مثال به طور واضح بیان خواهیم کرد.

Type

Simple String را زمانی استفاده کنید که url ثابت است.

Regular Expression را زمانی که آدرس دینامیک هست استفاده کنید.

URL Pattern

URL که مربوط به صفحه Login هست را وارد می کنیم.

Default

گزینه Default مربوط به Default Page هست که URL به آن هدایت می شود.

مشخص کردن Host Status و URL

تفاوت فعال کردن Host Status و غیر فعال کردن آن

در آموزش های قبل دیدید که هاست استاتوس را زمانی فعال می کردیم که نیاز به استفاده از یک Web Protection Profile خاص داشته باشیم.

در این بخش اگر Host Status غیرفعال باشد بعد از وارد کردن آدرس به صفحه ای هدایت می شوید که شما را بلاک می کند.

بلاک شدن در صورت فعال نبودن Host Status

دلیل بلاک شدن چیست؟

در این حالت ما دسترسی صفحه را به یک IP ریدایرکت کردیم.

اگر به خاطر داشته باشید در آموزش های قبلی ProtectHostName را تعریف کردیم و مشخص کردیم که تنها Owasp.ir دسترسی خواهد داشت.

به همین دلیل IP بلاک می شود.

برای جلوگیری از بروز این مشکل باید در این بخش، گزینه Host Status را فعال کرده و گزینه هاست owasp.ir را انتخاب کنیم.

اکنون بعد از وارد کردن آدرس به صفحه Login هدایت خواهیم شد.

ریدایرکت شدن به صفحه Login

تفاوت فعال کردن Host Status و غیر فعال کردن آن

در آموزش های قبل دیدید که هاست استاتوس را زمانی فعال می کردیم که نیاز به استفاده از یک Web Protection Profile خاص داشته باشیم.

در این بخش اگر Host Status غیرفعال باشد بعد از وارد کردن آدرس به صفحه ای هدایت می شوید که شما را بلاک می کند.

بلاک شدن در صورت فعال نبودن Host Status

دلیل بلاک شدن چیست؟

در این حالت ما دسترسی صفحه را به یک IP ریدایرکت کردیم.

اگر به خاطر داشته باشید در آموزش های قبلی ProtectHostName را تعریف کردیم و مشخص کردیم که تنها Owasp.ir دسترسی خواهد داشت.

به همین دلیل IP بلاک می شود.

برای جلوگیری از بروز این مشکل باید در این بخش، گزینه Host Status را فعال کرده و گزینه هاست owasp.ir را انتخاب کنیم.

اکنون بعد از وارد کردن آدرس به صفحه Login هدایت خواهیم شد.

ریدایرکت شدن به صفحه Login

تنظیم Start Page در Web Protection Profile

برای استفاده از این ویژگی باید Start Page ساخته شده را در Web Protection Profile پروفایل قرار دهیم.

در قسمت Policy بخش Web Protection Profile باید Start Page را وارد کنیم.

به قسمت Web Protection Profile پروفایل می رویم، در قسمت Access گزینه Start Page می توانیم پیجی را که تعریف کرده ایم انتخاب کنیم.

تنظیم Start Page در Web Protection Profile

در این بخش یاد گرفتیم چگونه با استفاده از فورتی وب کاربر را ملزم کنیم که ارتباطش را با یک صفحه خاص استارت بزند.