应用程序防火墙
tCell攻击传感器识别各种形式的恶意输入模式。被识别为恶意的特定文本或字节称为有效负载。
您可以使用App Firewall屏幕来配置所收集的有效负载数据、数据存储的位置以及tCell将检测到的特定攻击模式。
默认情况下,为了提供最多的攻击上下文,负载数据被发送到tCell云。如果需要,也可以在本地记录这些数据。
在使用tCell之前识别敏感字段
在使用tCell之前,确定包含敏感数据(如密码)的所有字段并将它们添加到排除发送有效负载参数列表。作为额外的安全层,tCell有一个常见的敏感字段名称列表,例如passwd,密码和csrftoken.代理不会将列表中的参数值发送到tCellcloud,也不会在本地记录它们。这与传输经过消毒的数据无关
代理始终向服务提供应用程序防火墙事件的请求URI的净化版本。如果收集完整的(未消毒的)uri选项处于启用状态时,tCell还将向tCell云发送整个未初始化的URI,正如它将显示在访问日志中一样。
请注意
“排除发送有效负载的参数”列表中的参数和默认敏感参数将如果启用了此选项并且URI包含它们,则仍会将其发送到tCell。
对于特定的模式,可以从监视中排除特定的路由和路径。最常见的情况是,当模式生成太多误报时,就会执行此操作。要执行此操作,请在图案的右侧单击添加并输入要排除的路线或图案。
使XXE检测
可以在应用程序防火墙策略中启用XXE检测。
- 在“策略”界面,单击“应用防火墙”页签。
- 向下滚动到标题为“XML外部实体(XXE)”的部分。勾选“启用”复选框。
- 想要捕获所有可能的恶意XML有效负载的用户应选中默认“tc-xxe-1”模式旁边的“正则表达式(模式ID)”下的复选框。高级用户可能希望添加并启用自己的正则表达式。
- 单击屏幕底部横幅上的“部署”。可以在应用程序防火墙策略中启用XXE检测。
FAQ:我可以启用没有正则表达式的XXE吗?
用户必须至少启用一个XXE正则表达式才能在tCell中查看XXE事件。
Allowlist规则
Allowlist Rules配置选项允许用户通过将正则表达式匹配到请求字段来排除触发tCell事件的某些请求。
我应该何时配置allowlist规则?
当默认tCell正则表达式与应用程序中常见或预期的请求字段值相匹配时,Allowlist规则非常有用。而不是筛选许多假阳性事件,或者完全使用事件过滤,用户可以配置包含该字段预期值的allowlist规则。
如何配置Allowlist规则?
Allowlist规则选项位于应用程序防火墙策略配置页面的底部。allowlist规则包含多个部分:
- 可选描述
- 是否启用或禁用规则。这可以使用标签为“启用”的复选框进行切换。
- 一个路由或匹配的路径。
- Routes:可以使用下拉菜单选择tCell在当前应用程序中发现的任何路由,也可以将该字段保留为空以匹配所有路由。
- 路径:选择请求方法,然后输入路径值。对于allowlist规则,“空路径”不适用,不应使用。
- 要在其上应用正则表达式的字段。选择字段类型(例如HTTP报头、查询参数等)并输入参数名称。
- 正则表达式。用户可以选择以前在tCell中定义的任何正则表达式,也可以创建一个新的正则表达式。确保在选择正则表达式后单击“保存选择”。
要创建新规则,请单击“Add”,填写表单,然后保存规则并部署更改。
支持的版本
以下代理版本支持Allowlist规则:
- JVM代理>=1.4.0
在哪些情况下,allowlist规则与请求匹配?
对于匹配的请求,
- 请求必须包含在allowlist规则中配置的字段。
- 字段的值必须与规则中配置的正则表达式匹配。
- 给定带有特定检测点的事件(例如XXS),检测事件必须由规则中配置的字段触发。如果一个Detection Point应用于请求中没有在allowlist规则中配置的另一个字段,则仍然会发送相应的事件。
例如,给定以下规则:
| 路线 | 场 | 正则表达式 |
|---|---|---|
收到/ |
查询参数p_name |
* * tcell |
该规则将匹配任何GET请求/使用查询参数p_name如果p_name的值包含T细胞.现在考虑以下请求:
1
GET / ? p_name = > <脚本警报(1);> < /脚本tcell
上面的Allowlist规则匹配此请求,将忽略发送的XSS事件。现在考虑一个稍微不同的请求:
1
获取/?p\u name=tcell和其他p\u name=