攻击署名是用于识别 Web 应用程序及其组件上攻击或攻击范例的规则或模式。安全策略将攻击署名中的模式与请求和响应的内容进行比较,以查找潜在的攻击。有些署名旨在掩护特定的操纵系统、Web 服务器、数据库、框架或应用程序。别的,您还可以为某些字母数字型的用户输入参数分配署名进行掩护。
应用安全管理器(ASM)上的全部攻击署名都存储在攻击署名池中。
可以开辟自界说(用户界说的)攻击署名,然而,这是一项仅在特定情况下才须要使用的高级功能。用户界说的署名与系统提供的署名一起存储在攻击署名池中。您还可以导入和导出用户界说的攻击署名。
关于攻击署名的暂存
当您初次激活安全策略时,系统会将攻击署名放入暂存区(如果安全策略启用了暂存功能)。暂存意味着系统会将攻击署名应用于 Web 应用程序流量,但不会对触发这些攻击署名的请求应用阻止策略动作。默认的暂存周期为七天。每当您在分配的署名集中添加或更改署名时,这些署名也会被放入暂存区。您还可以选择将更新的署名放入暂存区。
将新的和更新的攻击署名放入暂存区有助于淘汰由误报匹配引发的违规行为。当署名在暂存期内与攻击模式匹配时,系统会天生学习发起。从手动流量学习中,如果发现攻击署名违规,您可以从“检测到的攻击署名”屏幕检察这些攻击署名。
在评估后,如果署名是误报,您可以禁用该署名,系统将不再对对应 Web 应用程序的流量应用该署名。大概,如果检测到的署名匹配是正当的,您可以启用相应的攻击署名。请留意,启用署名会将其从暂存区移除,并使阻止策略见效。
攻击署名检测的攻击范例
