网络安全 | F5-Attack Signatures-Set详解

news2025/1/30 5:57:43

关注:CodingTechWork

创建和分配攻击签名集

  可以通过两种方式创建攻击签名集:使用过滤器或手动选择要包含的签名。
  基于过滤器的签名集仅基于在签名过滤器中定义的标准。基于过滤器的签名集的优点在于,可以专注于定义用户感兴趣的攻击签名的标准,而不是尝试管理具体的攻击签名列表。基于过滤器的签名集的另一个优点是,当更新攻击签名数据库时,系统也会更新任何受该更新影响的签名集。
  在手动创建签名集时,必须从签名池中选择要包括的每个签名。为了简化此方法,仍然可以首先过滤签名,然后从筛选后的列表中选择单个签名。
  一旦创建了所需的攻击签名集,可以将其分配到安全策略中。

关于攻击签名集

  攻击签名集是一组攻击签名。与将单个攻击签名应用到安全策略不同,可以应用一个或多个攻击签名集。应用安全管理器自带多个系统提供的签名集。
  每个安全策略都有自己的攻击签名集分配。默认情况下,新的安全策略会分配一个通用签名集。可以将其他签名集分配到安全策略。某些签名集更适用于特定类型的应用程序或攻击类型。这些签名集的命名通常具有逻辑性,可以根据名称选择合适的签名集。此外,还可以创建自己的攻击签名集。

攻击签名集列表

  以下表格列出了应用安全管理器附带的攻击签名集。

签名集包含的签名
所有响应签名所有能够检查响应的攻击签名。
所有签名攻击签名池中的所有攻击签名。
通用检测签名针对常见或已知的Web和应用程序攻击的签名。
高准确率签名高准确性签名,在识别攻击时产生的误报率较少。
低准确率签名可能导致更多误报率的签名,用于识别攻击。
中等准确率签名在识别攻击时具有中等准确性的签名。
OWA签名针对Microsoft Outlook Web Access (OWA) 应用程序的攻击签名。
WebSphere签名针对许多计算平台的攻击签名,这些平台通过WebSphere集成,包括通用数据库、Microsoft Windows、IIS、Microsoft SQL Server、Apache、Oracle、Unix/Linux、IBM DB2、PostgreSQL 和 XML。
命令执行签名涉及通过执行命令进行的攻击的签名。
跨站脚本签名针对跨站脚本技术的攻击签名,这些技术迫使用户在Web应用程序中执行不希望的操作,而用户已通过身份验证。
HTTP响应拆分签名针对利用未清理输入值的响应进行的攻击签名。
操作系统命令注入签名针对尝试通过易受攻击的应用程序运行系统级命令的攻击签名。
路径遍历签名针对尝试访问Web根目录外的文件和目录的攻击签名。
SQL注入签名针对尝试通过客户端输入数据将SQL查询注入到应用程序中的攻击签名。
服务器端代码注入签名针对服务器端代码注入攻击的签名。
XPath注入签名针对尝试通过XPath查询绕过权限或访问控制、获取数据结构的攻击签名。

创建攻击签名集

  在创建攻击签名集时,可以选择与特定系统和应用程序相关的攻击签名。
create attack signature-set

  1. 在主界面上,点击 Security > Options > Application Security > Attack Signatures > Attack Signature Sets。攻击签名集界面将打开,并显示系统中的攻击签名集。
  2. 点击 Create。将打开 Create New Signature Set 界面。
  3. Name 字段中,输入一个唯一的名称为签名集命名。创建用户定义的攻击签名时,请不要使用系统提供的攻击签名名称。尽管系统不禁止重复的攻击签名名称,但未来的攻击签名更新可能会因名称冲突而失败。
  4. 在 Type 设置中,选择合适的选项:
    • Filter-based:仅使用过滤器创建签名集。
    • Manual:通过从签名池中选择签名来创建签名集,必要时也可以使用过滤器。
  1. Default Blocking Actions 设置中,选择要在将签名集与新安全策略关联时,系统要强制执行的阻断操作。
    注意:LearnAlarmBlock 操作仅在将此签名集分配给新安全策略时生效。如果该签名集已分配给现有安全策略,则这些设置不起作用。
    新建policy起作用

  2. 如果希望系统在创建任何新安全策略时自动将此签名集包含在内,请启用Assign To Policy By Default设置。

  3. Signatures Filter 区域中,选择过滤器选项以缩小要包含在新签名集中的签名范围。

过滤器选项功能描述
Signature ID仅适用于 Manual。除非您希望将特定ID号的签名包括在签名集中,否则请保持为空。
Signature Type选择要包含的签名类型(适用于所有流量、仅请求或仅响应)。
Apply To仅适用于 Manual。选择是否在签名集中包括所有签名,还是仅包括适用于字母数字用户输入参数、XML文档或JSON数据的签名。
Attack Type选择要在签名集中包括的攻击类型(威胁分类)。
Systems选择要受到保护的系统(例如Web应用程序、Web服务器数据库和应用程序框架)。
Accuracy选择签名集的准确度等级。较高的准确度会导致较少的误报率。
Risk选择签名集中的攻击所涉及的潜在损害等级。
User-defined指定是否包括基于谁创建的签名(用户、系统或两者)的签名。
Update Date指定是否包括基于签名更改日期的签名。
  1. Signatures 设置中:
  • 如果仅使用过滤器创建签名集,请查看过滤器设置生成的签名列表,确保其正确。
  • 如果手动创建签名集,请将要包括在签名集中的签名从 Available Signatures 列表移至 Assigned Signatures 列表。
  1. 点击 Create 以创建新的签名集。

  新的签名集将添加到系统可用攻击签名集的列表底部。您可以将攻击签名集分配给安全策略。该签名集也可以在创建新安全策略时应用。
  如果将来您不再需要某个用户定义的签名集,可以将其删除。删除签名集时,不会删除组成该签名集的攻击签名,只是删除签名集本身。

为安全策略分配攻击签名集

  每个安全策略执行一个或多个攻击签名集。在创建安全策略时,您可以选择要包含的攻击签名集。您还可以向安全策略分配额外的攻击签名集。对于每个攻击签名集,您还可以指定阻断策略,即当签名集中的攻击签名发现潜在攻击时,您希望采取的措施。

  1. 在主标签页中,点击 Security > Application Security > Attack Signatures > Attack Signatures Configuration。此时会打开攻击签名配置界面。
  2. 在屏幕顶部的 Current edited policy 列表中,验证您正在编辑的安全策略是否是您要操作的策略。
  3. 如果您希望在执行之前将签名放入待处理状态,请选中 Signature Staging 复选框。待处理意味着系统将攻击签名应用于 Web 应用程序流量,但不会对触发这些攻击签名的请求执行阻断策略。默认的待处理周期为七天。
  4. Attack Signature Sets Assignment 设置中, 在 Available Signature Sets 列表中选择要分配给安全策略的攻击签名集,并将其移至 Assigned Signature Sets 列表中。
  5. Attack Signature Sets Assignment 设置中,对于 Available Signature Sets 列表中的每个签名集,配置阻断策略:选择或取消选择 LearnAlarmBlock 复选框。

    注意:仅当安全策略的执行模式设置为 Blocking 时,才能启用或禁用 Block 操作。
  6. 要为特定文件类型执行响应攻击签名,请执行以下操作:
  • Check Response Settings 中,选中 Apply Response Signatures 复选框。要使用此设置,您需要在安全策略中至少包含一个文件类型。
  • 如果需要创建文件类型,请点击 Create
  • 使用 Move 按钮调整要应用或不应用响应签名的文件类型。
  1. 点击 Save 保存设置。
  2. 要配置不希望攻击签名检查的 HTTP 头,请在 Excluded Headers 设置中点击 Configure HTTP Headers 链接。通过指定排除的头,您可以保持基于头的攻击签名启用,但防止这些签名与请求中的合法头名称和值匹配时产生误报。此时将打开 HTTP Headers 屏幕,您可以创建要排除的自定义、Cookie 或引荐头。
  3. 要立即使安全策略更改生效,点击 Apply Policy

      签名集已分配到安全策略,且阻断策略应用于签名集中的所有签名。
      根据您选择的阻断策略,所采取的措施会有所不同。如果选择了 Learn,安全策略会学习所有匹配启用签名的请求,并在 Traffic Learning Attack Signature Detected 屏幕上显示请求数据。如果选择了 Alarm,安全策略会在请求匹配签名时记录请求数据。如果选择了 Block,且执行模式为 Blocking,安全策略会阻断所有匹配签名集中的签名的请求,并向客户端发送支持 ID 编号。

查看安全策略中的签名集

  可以查看与安全策略关联的攻击签名集。

  1. 在主页面上,点击 Security > Application Security > Attack Signatures > Attack Signatures Configuration。这将打开 Attack Signatures Configuration 屏幕。
  2. 在屏幕顶部的 Current edited policy 列表中,确认您要编辑的安全策略是您想要操作的策略。
  3. Attack Signature Sets Assignment 设置中,您可以查看与该安全策略关联的签名集以及它们的阻断策略。
  4. 点击签名集名称,以查看其属性及其中的攻击签名。

查看安全策略中的攻击签名

  可以查看安全策略中的所有攻击签名,包括它们的当前阻止策略和状态。

  1. 在主页面上,点击 Security > Options > Application Security > Attack Signatures > Attack Signatures List。这将打开 Attack Signatures List 屏幕。
  2. Security ›› Application Security : Security Policies : Policies List ›› Policy Attack Signatures 区域,您可以查看与该安全策略关联的签名、签名 ID、阻止策略动作以及它们是否已启用。
    启用禁用
  3. 点击签名名称,以查看其详细属性,进入 Policy Attack Signature Properties 屏幕,获取更多关于该签名的信息。在此页面,您还可以启用或禁用该签名。
  4. 如果没有更改,点击 Cancel 返回签名列表。
  5. 如果更改了启用设置,点击 Update 以保存更改并返回 Attack Signatures List 屏幕。

默认签名集

  以下签名集包含在策略模板中。每个模板的执行方式根据保护级别的不同而有所不同。每个模板下列出的默认设置如表所示。大多数签名集是根据它们所防护的攻击类型来定义的。

Signature Set Name签名集中文名称Rating-Based(基于评级)Rapid(快速)Fundamental(基本)Comprehensive(综合)
All Signatures所有签名Enabled
All Response Signatures所有响应签名
Command Execution Signatures命令执行签名
Cross Site Scripting Signatures跨站脚本签名
Directory Indexing Signatures目录索引签名
Generic Detection Signatures (High Accuracy)通用检测签名(高准确性)
Generic Detection Signatures (High/Medium Accuracy)通用检测签名(高/中准确性)EnabledEnabledEnabled
HTTP Response Splitting SignaturesHTTP响应分割签名
High Detection Evasion Signatures高检测规避签名
High Accuracy Signatures高检测规避签名Enabled
Information Leakage Signatures信息泄露签名
Low Accuracy Signatures低准确性签名
Medium Accuracy Signatures中等准确性签名
OS Command Injection Signatures操作系统命令注入签名
OWA SignaturesOWA签名
Other Application Attacks Signatures其他应用攻击签名
Path Traversal Signatures路径遍历签名
Predictable Resource Location Signatures可预测资源位置签名
Remote File Include Signatures远程文件包含签名
SQL Injection SignaturesSQL注入签名
Server Side Code Injection Signatures服务器端代码注入签名
WebSphere SignaturesWebSphere签名
XPath Injection SignaturesXPath注入签名

检测过滤器

  签名集可以包含过滤器,用于对签名进行分类。这些过滤器用于指定何时对检测到的签名违规行为采取行动。如果您应用过滤器,可以指定在匹配到签名时是否采取措施。更高的准确性值可以减少误报。

签名准确性过滤器(Signature Accuracy Filter)

  • All (all) - 包括所有签名,无论准确性水平如何(默认过滤器)。
  • Equals (eq)- 过滤出与签名/签名集准确性水平相等的签名。
  • Greater Than/Equal To (ge) - 过滤出准确性水平大于或等于签名/签名集的签名。
  • Less Than/Equal To (le) - 过滤出准确性水平小于或等于签名/签名集的签名。

签名准确性值(Signature Accuracy Value)

表示攻击签名识别攻击的能力,包括误报的可能性:

  • All (all) - 所有攻击签名(默认值)。
  • High (high) - 高准确性签名,识别攻击时产生的误报较少。
  • Medium (medium) - 中等准确性签名,识别攻击时产生的误报适中。
  • Low (low) - 低准确性签名,可能产生较多误报。

CVE

表示签名是否具有 CVE 编号:

  • All (all)
  • No (no)
  • Yes (yes)

最后更新时间过滤器(Last Updated Filter)

  • After (after)
  • All (all)
  • Before (before)

风险值(Risk Value)

表示从检测到的签名中评估的攻击风险。此值与风险过滤器一起使用。

  • All (all)
  • High (high) - 表示攻击可能导致完整系统的破坏。
  • Low (low)- 表示攻击不会直接造成损害或泄露高度敏感的数据。
  • Medium (medium) - 表示攻击可能泄露敏感数据或造成中等损害。

风险过滤器(Risk Filter)

根据签名的评估风险值进行过滤:

  • All (all)
  • Equal (eq)
  • Greater than or Equal (ge)
  • Less than or Equal (le)

签名类型(Signature Type)

签名适用于客户端请求、服务器响应或两者:

  • All (all)
  • Request (request)
  • Response (response)

标签过滤器(Tag Filter)

根据配置的标签值进行过滤,或者过滤是否包含标签的签名。

  • All (all) - 不使用过滤器。
  • Equal (eq) - 仅包含标签与指定标签值相等的签名。
  • Untagged (untagged) - 仅包含没有标签的签名。

标签值

指定的签名标签值。

类型

定义签名集的类型:

  • filter-based:基于过滤器 (filter-based) - 签名集包括基于定义的检测过滤器的签名。
  • 手动 (manual) - 签名集包括手动指定的签名。
    注意:大多数签名集都是基于过滤器的。

参考:Reference:Attack Signature Sets

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2284615.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

STranslate 中文绿色版即时翻译/ OCR 工具 v1.3.1.120

STranslate 是一款功能强大且用户友好的翻译工具,它支持多种语言的即时翻译,提供丰富的翻译功能和便捷的使用体验。STranslate 特别适合需要频繁进行多语言交流的个人用户、商务人士和翻译工作者。 软件功能 1. 即时翻译: 文本翻译&#xff…

基于微信小程序的助农扶贫系统设计与实现(LW+源码+讲解)

专注于大学生项目实战开发,讲解,毕业答疑辅导,欢迎高校老师/同行前辈交流合作✌。 技术范围:SpringBoot、Vue、SSM、HLMT、小程序、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、安卓app、大数据、物联网、机器学习等设计与开发。 主要内容:…

我谈区域偏心率

偏心率的数学定义 禹晶、肖创柏、廖庆敏《数字图像处理(面向新工科的电工电子信息基础课程系列教材)》P312 区域的拟合椭圆看这里。 Rafael Gonzalez的二阶中心矩的表达不说人话。 我认为半长轴和半短轴不等于特征值,而是特征值的根号。…

关于低代码技术架构的思考

我们经常会看到很多低代码系统的技术架构图,而且经常看不懂。是因为技术架构图没有画好,还是因为技术不够先进,有时候往往都不是。 比如下图: 一个开发者,看到的视角往往都是技术层面,你给用户讲React18、M…

若依路由配置教程

1. 路由配置文件 2. 配置内容介绍 { path: "/tool/gen-edit", component: Layout, //在路由下,引用组件的名称,在页面中包括这个组件的内容(页面框架内容) hidden: true, //此页面的内容,在左边的菜单中不用显示。 …

基于ESP8266的多功能环境监测与反馈系统开发指南

项目概述 本系统集成了物联网开发板、高精度时钟模块、环境传感器和可视化显示模块,构建了一个智能环境监测与反馈装置。通过ESP8266 NodeMCU作为核心控制器,结合DS3231实时时钟、DHT11温湿度传感器、光敏电阻和OLED显示屏,实现了环境参数的…

HTML5 Web Worker 的使用与实践

引言 在现代 Web 开发中,用户体验是至关重要的。如果页面在执行复杂计算或处理大量数据时变得卡顿或无响应,用户很可能会流失。HTML5 引入了 Web Worker,它允许我们在后台运行 JavaScript 代码,从而避免阻塞主线程,保…

flutter_学习记录_00_环境搭建

1.参考文档 Mac端Flutter的环境配置看这一篇就够了 flutter的中文官方文档 2. 本人环境搭建的背景 本人的电脑的是Mac的,iOS开发,所以iOS开发环境本身是可用的;外加Mac电脑本身就会配置Java的环境。所以,后面剩下的就是&#x…

自助设备系统设置——对接POS支付

输入管理员密码 一、录入POS网关信息 填写网关信息后保存,重新启动软件

Calibre(阅读转换)-官方开源中文版[完整的电子图书馆系统,包括图书馆管理,格式转换,新闻,材料转换为电子书]

Calibre(阅读&转换)-官方开源中文版 链接:https://pan.xunlei.com/s/VOHbKYUwd3ASVXTi2Ok1vkK3A1?pwd92ny#

【unity游戏开发之InputSystem——06】PlayerInputManager组件实现本地多屏的游戏(基于unity6开发介绍)

文章目录 PlayerInputManager 简介1、PlayerInputManager 的作用2、主要功能一、PlayerInputManager组件参数1、Notification Behavior 通知行为2、Join Behavior:玩家加入的行为3、Player Prefab 玩家预制件4、Joining Enabled By Default 默认启用加入5、Limit Number Of Pl…

算法刷题Day29:BM67 不同路径的数目(一)

题目链接 描述 解题思路: 二维dp数组初始化。 dp[i][0] 1, dp[0][j] 1 。因为到达第一行第一列的每个格子只能有一条路。状态转移 dp[i][j] dp[i-1][j] dp[i][j-1] 代码: class Solution: def uniquePaths(self , m: int, n: int) -> int: #…

美国本科申请文书PS写作中的注意事项

在完成了introduction之后,便可进入到main body的写作之中。美国本科申请文书PS的写作不同于学术论文写作,要求你提出论点进行论证之类。PS更多的注重对你自己的经历或者motivation的介绍和描述。而这一描述过程只能通过对你自己的过往的经历的展现才能体…

内存泄漏的通用排查方法

本文聊一聊如何系统性地分析查找内存泄漏的具体方法,但不会具体到哪种语言和具体业务代码逻辑中,而是会从 Linux 系统上通用的一些分析方法来入手。这样,不论你使用什么开发语言,不论你在开发什么,它总能给你提供一些帮…

【Python】第五弹---深入理解函数:从基础到进阶的全面解析

✨个人主页: 熬夜学编程的小林 💗系列专栏: 【C语言详解】 【数据结构详解】【C详解】【Linux系统编程】【MySQL】【Python】 目录 1、函数 1.1、函数是什么 1.2、语法格式 1.3、函数参数 1.4、函数返回值 1.5、变量作用域 1.6、函数…

读书笔记--分布式服务架构对比及优势

本篇是在上一篇的基础上,主要对共享服务平台建设所依赖的分布式服务架构进行学习,主要记录和思考如下,供大家学习参考。随着企业各业务数字化转型工作的推进,之前在传统的单一系统(或单体应用)模式中&#…

关于WPF中ComboBox文本查询功能

一种方法是使用事件&#xff08;包括MVVM的绑定&#xff09; <ComboBox TextBoxBase.TextChanged"ComboBox_TextChanged" /> 然而运行时就会发现&#xff0c;这个事件在疯狂的触发&#xff0c;很频繁 在实际应用中&#xff0c;如果关联查询数据库&#xff0…

LockSupport概述、阻塞方法park、唤醒方法unpark(thread)、解决的痛点、带来的面试题

目录 ①. 什么是LockSupport? ②. 阻塞方法 ③. 唤醒方法(注意这个permit最多只能为1) ④. LockSupport它的解决的痛点 ⑤. LockSupport 面试题目 ①. 什么是LockSupport? ①. 通过park()和unpark(thread)方法来实现阻塞和唤醒线程的操作 ②. LockSupport是一个线程阻塞…

活动回顾和预告|微软开发者社区 Code Without Barriers 上海站首场活动成功举办!

Code Without Barriers 上海活动回顾 Code Without Barriers&#xff1a;AI & DATA 深入探索人工智能与数据如何变革行业 2025年1月16日&#xff0c;微软开发者社区 Code Without Barriers &#xff08;CWB&#xff09;携手 She Rewires 她原力在大中华区的首场活动“AI &…

从0到1:C++ 开启游戏开发奇幻之旅(一)

目录 为什么选择 C 进行游戏开发 性能卓越 内存管理精细 跨平台兼容性强 搭建 C 游戏开发环境 集成开发环境&#xff08;IDE&#xff09; Visual Studio CLion 图形库 SDL&#xff08;Simple DirectMedia Layer&#xff09; SFML&#xff08;Simple and Fast Multim…