क्लाइंट-साइड डिफेंस क्षमताएं
F5 Distributed Cloud क्लाइंट-साइड डिफेंस (CSD) वेब एप्लिकेशन को क्लाइंट-साइड हमलों से सुरक्षित करता है — यह ब्राउज़र में सीधे JavaScript व्यवहार की निगरानी करके काम करता है। F5 XC लोड बैलेंसर को क्लाइंट को परोसे जाने वाले पेजों में CSD टेलीमेट्री स्क्रिप्ट इंजेक्ट करने के लिए कॉन्फ़िगर किया जा सकता है। यह स्क्रिप्ट सभी JavaScript गतिविधि का अवलोकन करती है — कौन सी स्क्रिप्ट लोड होती हैं, वे किन फ़ॉर्म फ़ील्ड को पढ़ती हैं, और वे कौन से नेटवर्क कनेक्शन बनाती हैं। टेलीमेट्री डेटा F5 XC प्लेटफ़ॉर्म को भेजा जाता है जहाँ मशीन लर्निंग मॉडल स्क्रिप्ट व्यवहार का विश्लेषण करते हैं, जोखिम स्कोर असाइन करते हैं और विसंगतियों को चिह्नित करते हैं। सुरक्षा टीमें CSD कंसोल में डिटेक्शन की समीक्षा करती हैं और स्क्रिप्ट डोमेन को अनुमति देकर या शमन करके कार्रवाई करती हैं।
flowchart LR
A["Browser JS"] --> B["CSD Telemetry Script"]
B --> C["F5 XC Platform"]
C --> D["ML Analysis"]
D --> E["CSD Dashboard"]मुख्य डिटेक्शन सिग्नल
Section titled “मुख्य डिटेक्शन सिग्नल”CSD ब्राउज़र-साइड व्यवहार की तीन श्रेणियों की निगरानी करता है:
| सिग्नल | CSD क्या अवलोकन करता है | उदाहरण |
|---|---|---|
| फ़ॉर्म फ़ील्ड रीड | कौन सी स्क्रिप्ट पेज DOM में लोड समय पर मौजूद किन input फ़ील्ड को एक्सेस करती हैं | main.js द्वारा /login पर password फ़ील्ड पढ़ना |
| स्क्रिप्ट इन्वेंटरी | प्रत्येक पेज पर लोड होने वाली सभी फ़र्स्ट-पार्टी और थर्ड-पार्टी JavaScript, स्रोत डोमेन द्वारा ट्रैक की गई | लॉगिन पेज पर cdn.jsdelivr.net से लोड होने वाला एक नया <script> टैग दिखाई देना |
| नेटवर्क इंटरैक्शन | स्क्रिप्ट नेटवर्क गतिविधि में शामिल डोमेन — इसमें स्क्रिप्ट-लोड स्रोत डोमेन और fetch/XHR गंतव्य डोमेन दोनों शामिल हैं | डिटेक्ट किए गए डोमेन में esm.sh से आने वाली स्क्रिप्ट और www.httpbin.org जैसे डेटा एक्सफ़िल्ट्रेशन लक्ष्य दिखाई देना |
फ़ीचर मैट्रिक्स
Section titled “फ़ीचर मैट्रिक्स”| फ़ीचर | विवरण | कंसोल स्थान |
|---|---|---|
| स्क्रिप्ट जोखिम स्कोरिंग | स्वचालित वर्गीकरण: कोई जोखिम नहीं, कम जोखिम, उच्च जोखिम | Script List → Risk Level column |
| फ़ॉर्म फ़ील्ड संवेदनशीलता | फ़ील्ड प्रकार और नाम के आधार पर सिस्टम द्वारा फ़ील्ड को स्वचालित रूप से संवेदनशील के रूप में वर्गीकृत करता है | Form Fields view → Analysis column |
| व्यवहार टाइमलाइन | समय के साथ स्क्रिप्ट जोखिम स्तर, स्रोत डोमेन और प्रकार का चार्ट बनाता है | Script detail → Overview → Behaviors Over Time |
| प्रभावित उपयोगकर्ता एट्रिब्यूशन | IP, जियोलोकेशन, ब्राउज़र और डिवाइस द्वारा प्रभावित उपयोगकर्ताओं को ट्रैक करता है | Script detail → Affected Users tab |
| डोमेन अनुमति सूची | विश्वसनीय स्क्रिप्ट डोमेन को अनुमत के रूप में चिह्नित करें | Dashboard → domain row → Add To Allow List |
| डोमेन शमन सूची | विशिष्ट स्क्रिप्ट डोमेन से नेटवर्क कॉल और फ़ॉर्म फ़ील्ड रीड को ब्लॉक करें, डेटा एक्सफ़िल्ट्रेशन को रोकें | Dashboard → domain row → Add To Mitigate List |
| अलर्ट कॉन्फ़िगरेशन | नए डोमेन, जोखिम परिवर्तन, संदिग्ध व्यवहार के लिए सूचनाएं | Notifications section |
| स्क्रिप्ट औचित्य | यह बताने वाले नोट जोड़ें कि स्क्रिप्ट अधिकृत क्यों है (PCI DSS अनुपालन) | Script detail → Justification field |
| ट्रांज़ैक्शन ट्रैकिंग | मासिक टेलीमेट्री इवेंट काउंटर जो CSD सक्रिय होने की पुष्टि करता है | Dashboard → Transactions Consumed card |
| समय और स्थान फ़िल्टर | समय सीमा (24h, 7d, 30d) और स्थान के अनुसार सभी दृश्य फ़िल्टर करें | Top bar filter controls |
डिटेक्शन सीमाएं
Section titled “डिटेक्शन सीमाएं”CSD क्या निगरानी नहीं करता यह समझना सटीक डेमो अपेक्षाएं निर्धारित करने के लिए महत्वपूर्ण है:
| सीमा | विवरण | सत्यापित |
|---|---|---|
| गतिशील रूप से निर्मित फ़ील्ड | CSD पेज लोड के समय DOM में मौजूद input फ़ील्ड को ट्रैक करता है। लोड के बाद JavaScript द्वारा इंजेक्ट किए गए फ़ील्ड की निगरानी नहीं की जाती। किसी स्क्रिप्ट द्वारा पढ़ा गया गतिशील रूप से निर्मित <input> Form Fields दृश्य में दिखाई नहीं देता। | हाँ — 10 मिनट प्रतीक्षा के बाद /formFields से फ़ील्ड अनुपस्थित |
| कोड-स्तरीय ऑब्फ़स्केशन | CSD गतिशील कोड निष्पादन तकनीकों या ऑब्फ़स्केशन पैटर्न को अलग डिटेक्शन सिग्नल के रूप में चिह्नित नहीं करता। ऑब्फ़स्केटेड हार्वेस्टर गैर-ऑब्फ़स्केटेड वाले जितना ही जोखिम स्तर उत्पन्न करते हैं — CSD व्यवहार संबंधी मेटाडेटा ट्रैक करता है, न कि स्रोत कोड पैटर्न। | हाँ — दोनों तकनीकों के लिए समान “High Risk” |
| फ़ॉर्म ओवरले फ़ील्ड | CSD केवल पेज लोड के समय मूल DOM में मौजूद फ़ॉर्म फ़ील्ड को ट्रैक करता है। JavaScript द्वारा इंजेक्ट किए गए ओवरले फ़ॉर्म (डिजिटल स्किमिंग की एक सामान्य तकनीक) ट्रैक नहीं किए जाते — केवल मूल फ़ील्ड की रीड डिटेक्ट की जाती हैं। | हाँ — 10 मिनट प्रतीक्षा के बाद /formFields से ओवरले फ़ील्ड अनुपस्थित |
| डैशबोर्ड काउंटर व्यवहार | ”Found & Mitigated” और “Found & Allowed” सारांश काउंट केवल तभी बदलते हैं जब कोई व्यवस्थापक स्पष्ट रूप से किसी डोमेन को शमन या अनुमति सूची में जोड़ता है। “Action Needed” और “Total Found” काउंट स्वचालित रूप से अपडेट होते हैं जब नए डोमेन डिटेक्ट होते हैं। | हाँ — “Found & Allowed” केवल /allowed_domains को POST के बाद 0 से 1 हुआ |
PCI DSS v4.0 मैपिंग
Section titled “PCI DSS v4.0 मैपिंग”CSD भुगतान पेज सुरक्षा के लिए PCI DSS v4.0 की दो आवश्यकताओं को सीधे संबोधित करता है:
| PCI DSS आवश्यकता | यह क्या मांगती है | CSD इसे कैसे संबोधित करता है |
|---|---|---|
| 6.4.3 — भुगतान पेजों पर स्क्रिप्ट प्रबंधन | सभी स्क्रिप्ट की इन्वेंटरी बनाए रखें, प्रत्येक के लिए लिखित प्राधिकरण और औचित्य प्रदान करें, स्क्रिप्ट अखंडता सत्यापित करें | Script List पूर्ण इन्वेंटरी प्रदान करती है; Justification फ़ील्ड प्राधिकरण दस्तावेज़ीकरण करती है; व्यवहार टाइमलाइन परिवर्तन ट्रैक करती है |
| 11.6.1 — भुगतान पेजों पर टैम्पर डिटेक्शन | HTTP हेडर और भुगतान पेज सामग्री में अनधिकृत संशोधनों का पता लगाएं | CSD टेलीमेट्री नई स्क्रिप्ट इंजेक्शन, अनधिकृत फ़ॉर्म फ़ील्ड रीड और नए नेटवर्क डोमेन डिटेक्ट करती है — पेज व्यवहार में परिवर्तनों पर अलर्ट करती है |
खतरा कवरेज मैट्रिक्स
Section titled “खतरा कवरेज मैट्रिक्स”निम्नलिखित तालिका सामान्य क्लाइंट-साइड हमले श्रेणियों को CSD डिटेक्शन सिग्नल से मैप करती है जो प्रत्येक हमले के प्रकार के दौरान सक्रिय होंगे। * से चिह्नित हमले के प्रकार F5 आधिकारिक दस्तावेज़ीकरण द्वारा पुष्टि किए गए हैं। बिना चिह्न वाले प्रकार CSD के डिटेक्शन सिग्नल श्रेणियों के आधार पर अनुमानित हैं और F5 द्वारा स्पष्ट रूप से दावा नहीं किए गए हो सकते हैं।
| हमले की श्रेणी | विवरण | फ़ील्ड रीड | स्क्रिप्ट इंजेक्शन | नेटवर्क |
|---|---|---|---|---|
| Formjacking * | दुर्भावनापूर्ण स्क्रिप्ट फ़ॉर्म फ़ील्ड मान पढ़ती है और उन्हें एक्सफ़िल्ट्रेट करती है | हाँ | — | हाँ |
| Digital skimming * | भुगतान डेटा कैप्चर करने के लिए ओवरले फ़ॉर्म या स्क्रिप्ट इंजेक्ट करता है | हाँ | हाँ | हाँ |
| Supply chain attack * | समझौता की गई थर्ड-पार्टी लाइब्रेरी दुर्भावनापूर्ण कोड लोड करती है | — | हाँ | हाँ |
| Data exfiltration * | संवेदनशील डेटा पढ़ता है और उसे बाहरी डोमेन पर भेजता है | हाँ | — | हाँ |
| Script injection * | पेज में अनधिकृत <script> टैग सम्मिलित करता है | — | हाँ | हाँ |
| Cryptojacking * | क्रिप्टोकरेंसी माइनिंग स्क्रिप्ट इंजेक्ट करता है | — | हाँ | हाँ |
| DOM manipulation | उपयोगकर्ताओं को धोखा देने के लिए पेज तत्वों को इंजेक्ट या संशोधित करता है | — | हाँ | — |
| Man-in-the-Browser | ब्राउज़र सत्र के भीतर फ़ॉर्म डेटा को इंटरसेप्ट करता है — OWASP और MITRE T1185 देखें | हाँ | — | हाँ |
| Clickjacking | उपयोगकर्ता क्लिक हाईजैक करने के लिए अदृश्य फ़्रेम ओवरले करता है — OWASP देखें | — | हाँ | — |
| Web skimmer persistence | पेज नेविगेशन के दौरान स्किमर स्क्रिप्ट को पुनः इंजेक्ट करता है — Sansec Magecart Research देखें | — | हाँ | हाँ |