Criterio RegularExpressionProtection

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Cosa

Estrae informazioni da un messaggio (ad esempio, URI Path, Query Param, Header, Form Param, variabile, XML Payload o Payload JSON) e valuta i contenuti rispetto a normali regole predefinite le espressioni regolari. Se qualsiasi espressione regolare specificata restituisce true, il messaggio viene considerato e viene rifiutata.

Video

Guarda i video che seguono per avere ulteriori informazioni sulle norme relative alla protezione dalle espressioni regolari.

Esempi

<RegularExpressionProtection name="JsonPathRegExProtection">
    <DisplayName>Regular Expression Protection 1</DisplayName>
    <Source>request</Source>
    <JSONPayload escapeSlashCharacter="true">
       <JSONPath>
          <Expression>$</Expression>
          <Pattern>&lt;\s*script\b[^&gt;]*&gt;[^&lt;]+&lt;\s*\/\s*script\s*&gt;
          </Pattern>
          <Pattern>n\s*\\\\\s*slash</Pattern>
          <Pattern>n\s*\/\s*slash</Pattern>
          <Pattern>n\s*\\"\s*quotes</Pattern>
          <Pattern>n\s*\\b\s*space</Pattern>
          <Pattern>n\s*\\f\s*forwardfeed</Pattern>
          <Pattern>n\s*\\n\s*newline</Pattern>
          <Pattern>n\s*\\r\s*carria</Pattern>
          <Pattern>n\s*\\t\s*tab</Pattern>
          <Pattern>n\s*\\uFFFF\s*hex</Pattern>
       </JSONPath>
    </JSONPayload>
 </RegularExpressionProtection>

<Pattern>[\s]*(?i)((delete)|(exec)|(drop\s*table)|(insert)|(shutdown)|(update)|(\bor\b))</Pattern>

Informazioni sul criterio di protezione dalle espressioni regolari

Apigee Edge consente di configurare espressioni regolari che possono essere valutate in base al traffico delle API in fase di runtime per identificare le minacce più comuni a livello di contenuto che seguono determinati modelli.

Un'espressione regolare, o in breve regex, è un insieme di stringhe che specificano un pattern in una stringa. Le espressioni regolari consentono la programmazione programmatica dei contenuti valutati per i pattern. È possibile utilizzare espressioni regolari, ad esempio, per valutare un indirizzo email per assicurarne la corretta struttura. Per ulteriori informazioni, consulta la sezione espressioni nei tutorial Java.

L'utilizzo più comune di RegularExpressionProtection è la valutazione di JSON e XML per contenuti dannosi.

Nessuna espressione regolare è in grado di eliminare tutti gli attacchi basati sui contenuti e più meccanismi dovrebbero essere combinati per consentire la difesa in profondità. Questa sezione descrive alcuni pattern consigliati per escludendo i contenuti.

Esempio di esclusione motivi

Le espressioni regolari devono essere codificate in XML nel file di configurazione XML del criterio.

[\s]*((delete)|(exec)|(drop\s*table)|(insert)|(shutdown)|(update)|(\bor\b))

<!--#(include|exec|echo|config|printenv)\s+.*

<!--#(include|exec|echo|config|printenv)\s+.*

(/(@?[\w_?\w:\*]+(\[[^]]+\])*)?)+

/?(ancestor(-or-self)?|descendant(-or-self)?|following(-sibling))

<\s*script\b[^>]*>[^<]+<\s*/\s*script\s*>

<\s*script\b[^>]*>[^<]+<\s*/\s*script\s*>

.*?Exception in thread.*

Imposta l'intestazione Content-Type in una richiesta con un payload XML o JSON

Il payload del criterio di protezione delle espressioni regolari può includere quanto segue elementi:

• Elemento <XMLPayload>: specifica che le informazioni devono essere estratte da un payload XML e valutato in base all'espressione regolare fornita.

  Se utilizzi <XMLPayload> nel criterio, L'intestazione Content-Type della richiesta deve essere un content-type XML, come application/xml o text/xml.

• Elemento <JSONPayload>: specifica che le informazioni devono essere estratte da un payload JSON e valutato in base all’espressione regolare fornita.

  Se utilizzi <JSONPayload> nel criterio, L'intestazione Content-Type della richiesta deve essere un content-type JSON, come application/json.

Di solito si progetta un'API in modo che accetti XML o JSON. Tuttavia, potrebbe esserci uno scenario in cui l'API li accettava entrambi. Quindi, puoi definire un criterio di protezione dalle espressioni regolari che utilizza entrambi gli elementi <XMLPayload> e <JSONPayload>. Solo un elemento può essere applicato a una richiesta specifica in base al valore dell'attributo Intestazione Content-Type.

Riferimento elemento

Il riferimento agli elementi descrive gli elementi e gli attributi di RegularExpressionProtection .

<RegularExpressionProtection async="false" continueOnError="false" enabled="true" name="Regular-Expression-Protection-1">
   <DisplayName>Regular Expression Protection 1</DisplayName>
   <Source>response</Source>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <URIPath>
     <Pattern>REGEX PATTERN</Pattern>
     <Pattern>REGEX PATTERN</Pattern>
   </URIPath>
   <QueryParam name="a-query-param">
     <Pattern>REGEX PATTERN</Pattern>
     <Pattern>REGEX PATTERN</Pattern>
   </QueryParam>
   <Header name="a-header">
     <Pattern>REGEX PATTERN</Pattern>
     <Pattern>REGEX PATTERN</Pattern>
   </Header>
   <FormParam name="a-form-param">
     <Pattern>REGEX PATTERN</Pattern>
     <Pattern>REGEX PATTERN</Pattern>
   </FormParam>
   <Variable name="request.content">
     <Pattern>REGEX PATTERN</Pattern>
     <Pattern>REGEX PATTERN</Pattern>
   </Variable>
   <XMLPayload>
     <Namespaces>
       <Namespace prefix="apigee">http://www.apigee.com</Namespace>
     </Namespaces>
     <XPath>
       <Expression>/apigee:Greeting/apigee:User</Expression>
       <Type>string</Type>
       <Pattern>REGEX PATTERN</Pattern>
       <Pattern>REGEX PATTERN</Pattern>
     </XPath>
   </XMLPayload>
   <JSONPayload>
     <JSONPath>
       <Expression>$.store.book[*].author</Expression>
       <Pattern>REGEX PATTERN</Pattern>
       <Pattern>REGEX PATTERN</Pattern>
     </JSONPath>
    </JSONPayload>
</RegularExpressionProtection>

<RegularExpressionProtection> attributi

<RegularExpressionProtection async="false" continueOnError="false" enabled="true" name="Regular-Expression-Protection-1">

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali del criterio:

<DisplayName> elemento

Da utilizzare in aggiunta all'attributo name per etichettare il criterio in editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>

<Source> elemento

Indica il messaggio da cui è necessario estrarre le informazioni.

Se l'elemento <Source> viene omesso, il valore predefinito è message. Ad esempio: <Source>message</Source>. Se impostato su message, il criterio utilizza il messaggio della richiesta come origine quando è allegato a una richiesta flusso di lavoro. Allo stesso modo, il criterio utilizza il messaggio di risposta quando allegato a un flusso di risposta.

Se il messaggio di origine non può essere risolto o viene risolto in un tipo diverso da messaggio, il criterio restituisce un errore.

<Source>response</Source>

<IgnoreUnresolvedVariables> elemento

Determina se il criterio restituisce un errore quando rileva una variabile che irrisolvibili.

Se viene impostato su false (valore predefinito), il criterio restituisce un errore quando un problema non risolvibile . Se impostata su true, la variabile non risolta viene considerata vuota stringa (Null).

<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>

<URIPath> elemento

Specifica che le informazioni devono essere estratte dal percorso dell'URI della richiesta e valutate rispetto alle espressioni regolari fornite. Devi specificarne almeno uno Elemento <Pattern> che specifica un pattern di espressione regolare da abbinare.

<URIPath>
  <Pattern>REGEX PATTERN</Pattern>
  <Pattern>REGEX PATTERN</Pattern>
</URIPath>

<QueryParam> elemento

Specifica che le informazioni devono essere estratte dal parametro di query di richiesta e valutati sulla base delle espressioni regolari fornite. Devi specificarne almeno uno Elemento <Pattern> che specifica un pattern di espressione regolare da abbinare.

<QueryParam name="a-query-param">
  <Pattern>REGEX PATTERN</Pattern>
  <Pattern>REGEX PATTERN</Pattern>
</QueryParam>

Attributi

<Header> elemento

Specifica che le informazioni devono essere estratte dalle intestazioni della richiesta e della risposta e valutati sulla base delle espressioni regolari fornite. Devi specificarne almeno uno Elemento <Pattern> che specifica un pattern di espressione regolare da abbinare.

<Header name="a-header">
  <Pattern>REGEX PATTERN</Pattern>
  <Pattern>REGEX PATTERN</Pattern>
</Header>

Attributi

<FormParam> elemento

Specifica che le informazioni devono essere estratte dal parametro del modulo di richiesta ed essere valutate rispetto alle espressioni regolari fornite. Devi specificarne almeno uno Elemento <Pattern> che specifica un pattern di espressione regolare da abbinare.

<FormParam name="a-form-param">
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</FormParam>

Attributi

<Variable> elemento

Specifica che le informazioni devono essere estratte dalla variabile specificata e valutate in base a le espressioni regolari fornite.

<Variable name="request.content">
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</Variable>

Attributi

<XMLPayload> elemento

Specifica che le informazioni devono essere estratte da un payload XML e valutate in base al espressioni regolari fornite.

<XMLPayload>
   <Namespaces>
      <Namespace prefix="apigee">http://www.apigee.com</Namespace>
   </Namespaces>
   <XPath>
      <Expression>/apigee:Greeting/apigee:User</Expression>
      <Type>string</Type>
      <Pattern>REGEX PATTERN</Pattern>
      <Pattern>REGEX PATTERN</Pattern>
   </XPath>
</XMLPayload>

<XMLPayload>/<Namespaces> elemento

Specifica gli spazi dei nomi da utilizzare nella valutazione di XPath.

<XMLPayload>
   <Namespaces>
      <Namespace prefix="apigee">http://www.apigee.com</Namespace>
   </Namespaces>
   <XPath>
      <Expression>/apigee:Greeting/apigee:User</Expression>
      <Type>string</Type>
      <Pattern>REGEX PATTERN</Pattern>
      <Pattern>REGEX PATTERN</Pattern>
   </XPath>
</XMLPayload>

<XMLPayload>/<Namespaces>/<Namespace> elemento

<Namespaces>
   <Namespace prefix="apigee">http://www.apigee.com</Namespace>
</Namespaces>

Attributi

<XMLPayload>/<XPath> elemento

<XPath>
   <Expression>/apigee:Greeting/apigee:User</Expression>
   <Type>string</Type>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</XPath>

<XMLPayload>/<XPath>/<Expression> elemento

<XPath>
   <Expression>/apigee:Greeting/apigee:User</Expression>
   <Type>string</Type>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</XPath>

<XMLPayload>/<XPath>/<Type> elemento

<XPath>
   <Expression>/apigee:Greeting/apigee:User</Expression>
   <Type>string</Type>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</XPath>

<XMLPayload>/<XPath>/<Pattern> elemento

Definisce il pattern dell'espressione regolare. Se un'espressione regolare l'elemento <Pattern> include caratteri riservati a XML (", &, ', < o .), devi codificarlo in XML prima di includerlo.

<XPath>
   <Expression>/apigee:Greeting/apigee:User</Expression>
   <Type>string</Type>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</XPath>

&lt;JSONPayload&gt; elemento

Specifica che le informazioni devono essere estratte da un payload JSON e valutate in base al espressioni regolari fornite.

<JSONPayload>
   <JSONPath>
      <Expression>$.store.book[*].author</Expression>
      <Pattern>REGEX PATTERN</Pattern>
      <Pattern>REGEX PATTERN</Pattern>
   </JSONPath>
</JSONPayload>

Attributi

&lt;JSONPayload&gt;/&lt;JSONPath&gt;/&lt;Expression&gt; elemento

Specifica l'espressione JSONPath definita per la variabile.

<JSONPath>
   <Expression>$.store.book[*].author</Expression>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</JSONPath>

&lt;JSONPayload&gt;/&lt;JSONPath&gt;/&lt;Pattern&gt; elemento

Definisce il pattern dell'espressione regolare. Se un'espressione regolare nel tuo L'elemento <Pattern> include caratteri riservati a XML (", &, ', < o .), devi codificarlo in XML prima di includerlo.

<JSONPath>
   <Expression>$.store.book[*].author</Expression>
   <Pattern>REGEX PATTERN</Pattern>
   <Pattern>REGEX PATTERN</Pattern>
</JSONPath>

Messaggi di errore

Questa sezione descrive i codici e i messaggi restituiti e le variabili di errore impostate da Edge quando questo criterio attiva un errore. Queste informazioni sono importanti per sapere se si stanno sviluppando regole di errore per la gestione degli errori. Per acquisire un errore e generare un errore personalizzato, imposta l'attributo continueOnError="true" nell'elemento principale del criterio. Per scoprire di più, consulta gli articoli Cosa devi sapere sugli errori relativi alle norme e Gestione degli errori.

Gli errori restituiti dai criteri perimetrali seguono un formato coerente, come descritto in Riferimento ai codici di errore.

Errori di runtime

Questi errori possono verificarsi quando il criterio viene eseguito.

Errori di deployment

Variabili di errore

Queste variabili vengono impostate quando questo criterio attiva un errore. Per maggiori informazioni, consulta la sezione Cosa devi sapere sugli errori relativi ai criteri.

Schemi

Argomenti correlati

Minaccia JSON Norme sulla protezione

Minaccia XML Norme sulla protezione