زمانی که با یک سایت ارتباط برقرار می کنیم و صفحات آن را مشاهده می کنیم، این درخواست ها با استفاده از متدهای مختلف انجام می شود.
در واقع متدها نوع ارتباط ما با صفحه را مشخص می کنند. درخواست ها از طریق متدها به وب سایت ارسال می شود.
معروف ترین متد ها متد Get و Post هستند.
برخی متدهای دیگر نیز هستند که در وب سایت های مختلف از آنها استفاده می شود.
با استفاده از قابلیت Allow Method می توانیم کارهای زیر را انجام دهیم:
- روی متدها دسترسی را محدود کنیم.
- کنترل متد ها را انجام دهیم.
- برای وبسایت مشخص کنیم از چه متدهایی می تواند استفاده کند.
در ادامه کنترل متدها را یاد می گیریم.
چک کردن متدها روی سایت
روی سایت مورد نظر خود کلید F12 را بزنید.
در این بخش می توانید ببینید که وقتی وارد پیجی از سایت می شوید متد Get ارسال می شود:
Request Method: Get
اگر به صفحه Login برویم و درخواست ورود داشته باشیم، در ابتدا Request Method برابر با Get می باشد و به محض ارسال Username و password متد سایت تبدیل به Post خواهد شد.
در قسمت های مختلف سایت می توانید متد های متفاوت را ببینید.
در این آموزش می خواهیم لاگین سایت را در بخش Post قرار دهیم و سایر صفحات با استفاده از متد Get درخواست دهند.
چنان چه صفحه ای غیر از Login از متد Post استفاده کند توسط Fortiweb بلاک خواهد شد.
پیاده سازی قابلیت Allow Method
برای پیاده سازی این قابلیت، در فورتی وب وارد بخش Web Protection Profile شده و در قسمت Access گزینه allow method را می زنیم.
در این بخش دو سربرگ زیر را می بینیم:
- Allow Method Policy
- Allow Method exception
ایجاد Allow Method Exception
اگر بخواهیم برخی از صفحات سایت را استثنا قرار بدهیم باید آنها را در این قسمت قرار دهیم.
در این آموزش صفحه Login را با متد Post در این قسمت قرار می دهیم.
در قسمت Allow Method Exception گزینه Create New را می زنیم.
یک نام در نظر می گیریم.
بعد از زدن OK گزینه Create New در پایین فعال می شود.
با زدن این گزینه صفحه جدید باز می شود که اطلاعات آن را مطابق آموزش های قبلی وارد می کنیم.
Host Status
این گزینه را اگر میخواهید برای یک Protect Hostname خاص که قبلا تعریف کردید فعال شود استفاده کنید.
در صورتی که برای همه سامانه میخواهید فعال شود، این گزینه را غیر فعال کنید.
Type
در این قسمت دو حالت Simple String برای URL های ثابت و ایستا و حالت Regular Expression برای URL های دینامیک استفاده می شود.
URL Pattern
در این قسمت آدرس صفحه Login (یا هر صفحه ای که می خواهید استثنا باشد) را قرار دهید.
Allow Method Exception
در این قسمت متدهایی را که می خواهید صفحه مورد نظرتان به آن دسترسی داشته باشد را علامت بزنید.
برای صفحه Login می خواهیم دو متد Get و Post را فعال کنیم.
ایجاد Allow Method Policy
در این بخش پس از زدن گزینه create New یک نام در نظر می گیریم.
در قسمت Allow Request فقط گزینه Get را علامت بزنید، زیرا می خواهیم فقط به درخواست هایی اجازه دهیم که از متد Get استفاده می کنند.
سایر متد ها مثل Head، Option، Trace، Connect، Delete و غیره را فعال نمی کنیم.
با این کار می توانیم وب سایت را در برابر حملات ایمن کنیم تا از طریق این متدها وب سایت مورد حمله قرار نگیرد.
روش کار این است که متدهایی که مورد نیاز نیست را غیر فعال می کنیم.
Severity یا شدت را بر حسب نیاز استفاده می کنیم.
Trigger Policy را اگر پالسی خاصی داشتیم انتخاب می کنیم.
در گزینه آخر نیز Allow Method Exception که ایجاد کرده بودید را انتخاب کنید.
تنظیم Allow Method در Web Protection Profile
در Web Protection Profile که از قبل تعریف کرده بودیم قسمت Access گزینه Allow Method می توانید متدی که تعریف کرده اید را انتخاب کرده و OK بزنید.
برای تست درست بودن در صفحه ای از سایت (صفحه ای به غیر از صفحه لاگین) که پیش از انجام این کار به متد پست دسترسی داشت می رویم و تست را انجام می دهیم.
مشاهده می کنید که دسترسی بلاک شده است و اجازه Post به سایت را نمی دهد.
به دلیل اینکه در Policy تعیین کردیم که کل وب سایت تنها با متد Get دسترسی دارد.
و تنها صفحه Login می تواند از متد Post استفاده کند تا کاربر بتواند یوزر پسورد را وارد کند.
در همه صفحات اگر متدی غیر از Get استفاده شود کاربر بلاک شده و دسترسی از وب گرفته می شوذ.
در قسمت Logها نیز می توانید Log مربوطه را به همراه دلیل آن مشاهده کنید.
در بخش اطلاعات می توانید متوجه شوید که متد Post استفاده شده است و به همین دلیل دسترسی گرفته می شود.
با استفاده از Allow Method در فورتی وب می توانیم دسترسی به سایت را کنترل کنیم.
همچنین مشخص نماییم که کدام صفحه از چه متدی استفاده کند تا دسترسی داشته باشد.
ثبت ديدگاه