JS代理配置

JS代理总结

tCell的XSS特性可以通过监视用户浏览器的DOM来检测任何新的内联可执行脚本的存在,从而检测所有类型的成功XSS攻击。它通过自动地将脚本插入< >头申请的每一页。这是JS代理,它允许tCell查看所有执行的脚本,并确定哪些脚本是XSS攻击。该特性在默认情况下是启用的。要验证它是否已启用,请登录tCell控制台并转到> JS代理.确保启用启用JavaScript代理的自动插入都是检查。

内联脚本事件

tCell使用JS Agent通过捕获DOM活动和预填充脚本加载来提供内联脚本攻击检测。默认情况下,CSP允许执行内联脚本。这允许JS代理在CSP未覆盖的恶意DOM活动时发出警报。

要查看内联脚本事件,您需要导航到XSS在左侧栏中,单击事件链接,然后单击内联脚本事件链接。从这个区域,您可以确定内联脚本在DOM中执行的位置、执行它的客户端,并查看实际的脚本源代码。

事件

如果这个脚本执行是预期的,我们可以通过单击展开行右下角的“add to Policy”将它添加到JS代理策略中。

增加政策

JS代理允许细粒度配置,并允许基于脚本内容列出内联脚本。如果应用程序使用内容变化的动态内联脚本,还可以创建一个正则表达式来允许列出它在DOM中的位置。这可以在设置下的JS代理策略

内联脚本攻击识别

要在tCell控制台中查看XSS事件,请转到应用程序。从左侧栏选择XSS.当“XSS”页面出现时,点击XSS漏洞卡。

要获取有关特定事件的更多详细信息,请单击左侧的向下箭头脚本ID.您将看到受影响用户的ip和执行的确切脚本。

注意,tCell删除了敏感数据,因此脚本将主要由函数名和变量名组成。你会看到在tCell剥离数据的任何地方。在右上角,您可以修改时间范围。

XSS攻击

要获得关于特定事件的详细信息,请单击右边的蓝色小图标。现在您将看到脚本每次执行的时间以及它在页面中的确切位置。要在此列表中获得关于特定事件的最大程度的详细信息,单击该事件的IP地址旁边的右箭头。

内联脚本事件

当发生XSS攻击时,遵循安全最佳实践并使用tCell提供的详细信息来快速查找和修复代码中的漏洞非常重要。

当更方便地管理返回的文档时,可以禁用自动插入,并手动提供jsagent脚本标记。例如,您可以在默认页面模板的头部编辑或插入脚本标记。可以通过下面的命令查看要在tCell控制台中使用的标记格式Admin ->下载代理-> Javascript代理.下步骤2,此页面将显示标签以及将数据传输到tCell应用程序环境所需的API密钥。

下载代理选项卡

如果您正在将一个现有的应用程序转换为提供脚本标记本身,或初始化配置一个应用程序以自提供脚本标记,请转到策略-> JS代理和取消启用JavaScript代理的自动插入以避免JS代理的双重执行。

JS Agent序列图

JavaScript代理流程

这个图表详细描述了JS Agent如何与web应用程序和tCell服务的组件交互。

  • 在正常的页面加载中,App Server Agent或客户应用程序会在文档的头部插入一个脚本标记。
  • 遵循脚本标签,浏览器从健壮的内容交付网络获取JS代理,并执行JavaScript。
  • JS代理联系tCell服务获取策略,以确定应该报告哪些脚本,以及应该忽略哪些脚本。
  • 然后JS代理会在早期扫描DOM,以检测内联脚本在运行之前已经加载,并可能干扰JS代理。
  • 扫描结束后,异步地启动通用页面信息的异步传输以及意外的内联脚本。
  • 代理注册自身以观察DOM的变化,并继续确定是否在这些脚本启动之前将内联脚本添加到页面内容中,从而可能通过其他连接发送额外的事件。

JS代理API密钥

用于JS代理的API键与用于tCell服务其他部分的API键的作用域是分开的。

JS代理API键只允许检索它们的配置和报告内联脚本事件。使用此密钥不可能进行配置更改或其他信息检索。