网络安全 | F5-Attack Signatures详解
关注:CodingTechWork
关于攻击签名
攻击签名是用于识别 Web 应用程序及其组件上攻击或攻击类型的规则或模式。安全策略将攻击签名中的模式与请求和响应的内容进行比较,以查找潜在的攻击。有些签名旨在保护特定的操作系统、Web 服务器、数据库、框架或应用程序。此外,您还可以为某些字母数字型的用户输入参数分配签名进行保护。
应用安全管理器(ASM)上的所有攻击签名都存储在攻击签名池中。
可以开发自定义(用户定义的)攻击签名,然而,这是一项仅在特定情况下才需要使用的高级功能。用户定义的签名与系统提供的签名一起存储在攻击签名池中。您还可以导入和导出用户定义的攻击签名。
关于攻击签名的暂存
当您首次激活安全策略时,系统会将攻击签名放入暂存区(如果安全策略启用了暂存功能)。暂存意味着系统会将攻击签名应用于 Web 应用程序流量,但不会对触发这些攻击签名的请求应用阻止策略动作。默认的暂存周期为七天。每当您在分配的签名集中添加或更改签名时,这些签名也会被放入暂存区。您还可以选择将更新的签名放入暂存区。
将新的和更新的攻击签名放入暂存区有助于减少由误报匹配引发的违规行为。当签名在暂存期内与攻击模式匹配时,系统会生成学习建议。从手动流量学习中,如果发现攻击签名违规,您可以从“检测到的攻击签名”屏幕查看这些攻击签名。
在评估后,如果签名是误报,您可以禁用该签名,系统将不再对对应 Web 应用程序的流量应用该签名。或者,如果检测到的签名匹配是合法的,您可以启用相应的攻击签名。请注意,启用签名会将其从暂存区移除,并使阻止策略生效。
攻击签名检测的攻击类型
安全策略中的攻击签名与请求或响应进行比较,试图识别攻击类型,例如 SQL 注入、命令注入、跨站脚本(XSS)和目录遍历。以下表格描述了攻击签名可以检测的攻击类型。您可以按这些攻击类型过滤攻击签名列表。
| 攻击类型 | 描述 |
|---|---|
| 功能滥用 | 利用网站的功能和特性来消耗、欺诈或绕过应用程序的访问控制机制。 |
| 认证/授权攻击 | 攻击网站验证用户、服务或应用程序身份的方法。授权攻击针对网站判断用户、服务或应用程序是否有足够权限执行请求操作的方法。 |
| 缓冲区溢出 | 通过覆盖内存的部分内容来改变应用程序的流程。攻击者可能通过向网络服务器的易受攻击组件发送大量意外数据来触发缓冲区溢出。 |
| 命令执行 | 当攻击者通过提交可以改变网页内容或通过远程服务器执行命令的用户输入字段来操纵数据,导致敏感数据泄露,例如列出服务器上的用户。 |
| 跨站脚本(XSS) | 强迫网站回显攻击者提供的可执行代码,这些代码在用户的浏览器中加载。 |
| 拒绝服务攻击(DoS) | 通过耗尽系统资源使得网站无法正常为用户提供服务。 |
| 检测规避 | 尝试伪装或隐藏攻击,以避免被攻击特征检测到。 |
| 目录索引 | 涉及网站服务器功能,当正常的基文件缺失时,会列出请求目录中所有文件。 |
| HTTP响应分割 | 指尝试向应用程序用户发送恶意响应载荷。 |
| 信息泄漏 | 当网站暴露敏感数据(例如开发者评论或错误信息),可能帮助攻击者利用该系统。 |
| LDAP注入 | 涉及尝试利用从用户输入构建LDAP语句的网站。 |
| 非浏览器客户端 | 指自动化客户端尝试访问获取敏感信息。HTML评论、错误信息、源代码或可访问的文件可能包含敏感信息。 |
| 其他应用攻击 | 表示不适用于更明确攻击分类的攻击,包括电子邮件注入、HTTP头注入、尝试访问本地文件、潜在蠕虫攻击、CDATA注入和会话固定等。 |
| 路径遍历 | 强迫访问可能位于网站文档根目录外的文件、目录和命令。 |
| 可预测资源位置 | 尝试揭示隐藏的网站内容和功能。 |
| 远程文件包含 | 由于未分类的应用攻击发生,例如应用程序使用参数在页面之间传递URL。 |
| 服务器端代码注入 | 尝试利用服务器并允许攻击者向网页应用程序发送代码,由Web服务器在本地运行。 |
| SQL注入 | 尝试利用从用户输入构建SQL语句的网站。 |
| 木马/后门/间谍软件 | 尝试绕过网站服务器或网页应用程序的内建安全机制,将攻击伪装成合法通信。例如,攻击者可能将攻击嵌入到电子邮件或Microsoft Word文档中,用户一旦打开该邮件或文档,攻击就会启动。 |
| 漏洞扫描 | 使用自动化安全程序探测网页应用程序的软件漏洞。 |
| XPath注入 | 发生在尝试将XPath查询注入到易受攻击的网页应用程序时。 |
攻击签名属性
以下表格描述了共计前面的属性,在攻击签名属性屏幕里列举了。
| 属性 | 描述 |
|---|---|
| 名称 | 显示签名名称。 |
| ID | 指定系统自动提供的签名编号。 |
| 签名类型 | 指定签名是针对所有流量、仅请求还是仅响应。 |
| 应用对象 | 指示规则检查客户端请求(请求)还是服务器响应(响应)。 |
| 攻击类型 | 强迫网站回显攻击者提供的可执行代码,这些代码将在用户的浏览器中加载。 |
| 系统 | 显示该签名或签名集保护的系统(例如,Web应用程序、Web服务器数据库或应用程序框架)。 |
| 准确性 | 指示攻击签名识别攻击的能力,包括对误报的易感性: - 低:表示误报的可能性较高。 - 中:表示有一定的误报可能性。 - 高:表示误报的可能性较低。 |
| 风险 | 指示如果攻击成功,这种攻击可能造成的潜在损害程度: - 低:表示攻击不会造成直接损害或泄露高度敏感的数据。 - 中:表示攻击可能泄露敏感数据或造成中等损害。 - 高:表示攻击可能导致整个系统的完全妥协。 |
| 用户定义 | 指示此签名是否为系统提供的规则(否)或由用户定义的(是)。 |
| 版本 | 指示攻击签名的版本。 |
| 最后更新时间 | 指示攻击签名的最后更新时间。 |
| 文档 | 指示系统是否提供解释此攻击签名的文档(查看)或没有(N/A)。点击“查看”链接以显示可用的文档。 |
| 参考 | 显示一个可点击的链接,指向解释此攻击签名的外部网站,或者如果没有可用链接,则显示(N/A)。 |
参考:attack signatures