Перейти к содержанию

Настройки модуля активной проверки атак

С помощью индивидуального набора правил вы можете изменить следующие настройки модуля активной проверки атак:

  • Выключить модуль активной проверки атак для некоторых приложений или частей приложения (только если модуль включен глобально для всех приложений в Консоли управления → Сканер)

  • Изменить элементы исходного запроса с атакой перед перепроверкой

Выключить/Включить активную проверку атак

Обзор правила

Правило Выключить/Включить активную проверку атак позволяет управлять режимом работы модуля активной проверки атак для отдельных приложений или частей приложения. Правило применяется, только если модуль включен глобально для всех приложений в Консоли управления → Сканер.

Создание и применение правила

Чтобы создать и применить правило:

  1. Создайте правило Выключить/Включить активную проверку атак в секции Правила в Консоли управления Валарм. Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Выключить / Включить задает режим работы модуля активной проверки атак для запросов к приложению или части приложения, описанной в условии правила.

      Режим Включить используется, только чтобы настроить исключение для правила, которое выключает модуль активной проверки атак. Например: в дереве правил уже есть правило, которое выключает активную проверку атак, отправленных в запросах к https://example.com/module/user/*, но для запросов к https://example.com/module/user/create модуль должен быть включен.

  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Чтобы выключить активную проверку атак, отправленных в запросах к https://example.com/module/user/*, вы можете настроить правило Выключить/Включить активную проверку атак следующим образом:

Пример правила "Выключить/Включить активную проверку атак"

Если правило, приведенное выше, уже настроено, то для включения активной проверки атак, отправленных в запросах к https://example.com/module/user/create, вы можете настроить правило Выключить/Включить активную проверку атак следующим образом:

Пример правила "Выключить/Включить активную проверку атак"

Изменение запроса перед перепроверкой атаки

Обзор правила

Правило Изменить атаку перед активной проверкой используется для изменения следующих элементов исходного запроса перед перепроверкой атаки:

Изменение любого элемента исходного запроса

Правило Изменить атаку перед активной проверкой позволяет изменить только заголовок (header) и путь (uri) исходного запроса. Другие элементы не могут быть изменены или добавлены в запрос при перепроверке атаки.

Замена исходных данных аутентификации на тестовые

Если в исходном запросе были переданы параметры аутентификации, модуль Активной проверки атак удаляет эти данные и отправляет на адрес приложения исходный запрос без них. Если для доступа к API защищаемого приложения необходимо обязательно передать параметры аутентификации, в ответ на запрос вернется ошибка с кодом 401 или другим и модуль Активной проверки атак не сможет однозначно определить наличие уязвимости в приложении.

Чтобы перепроверять исходные запросы с обязательными параметрами аутентификации, необходимо добавить тестовые значения для этих параметров с помощью правила Изменить атаку перед активной проверкой. Например: ключ API, токен, пароль или другие параметры.

Переиспользование тестовых данных аутентификации

Мы рекомендуем сгенерировать отдельные тестовые данные аутентификации, которые будут использоваться только для перепроверки атак со стороны Валарм.

Изменение адреса приложения для перепроверки атак

По умолчанию при перепроверке атаки запрос отправляется на исходный адрес и путь приложения. Вы можете заменить исходные адрес и путь на другие значения с помощью правила Изменить атаку перед активной проверкой следующим образом:

  • Заменить значение заголовка HOST на адрес отдельного инстанса приложения. Например: на адрес тестовой среды или стейджинга.

  • Заменить путь исходного запроса, например: на путь до тестовой среды или стейджинга, на путь до целевого сервера для обхода прокси‑сервера.

Чтобы заменить и значение заголовка HOST и путь исходного запроса, необходимо создать два соответствующих правила Изменить атаку перед активной проверкой.

Создание и применение правила

Чтобы создать и применить правило:

  1. Создайте правило Изменить атаку перед активной проверкой в секции Правила в Консоли управления Валарм. Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Новое значение для header или uri задает новое значение для параметра header или uri (необходимо указать в блоке Часть запроса), которое будет использовано при перепроверке запроса.

      Для передачи значения необходимо использовать язык шаблонов Liquid: заключить значение в двойные фигурные скобки {{}} и одинарные кавычки ''. Например: {{'example.com'}}.

      Значение должно быть передано в декодированном формате.

      Для замены пути исходного запроса (uri), необходимо передать полное значение нового пути.

    • Часть запроса определяет элемент исходного запроса, для которого необходимо заменить значение перед перепроверкой запроса.

      Возможные значения для поля Часть запроса

      В поле Часть запроса можно выбрать только элементы header (заголовок запроса) и uri (путь запроса).

  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Вы можете создать несколько правил, чтобы задать несколько условий для замены или заменить значения нескольких элементов исходного запроса.

Примеры правил

  • При перепроверке атак, отправленных на example.com, передавать значение PHPSESSID=mntdtbgt87j3auaq60iori2i63; security=low в заголовке COOKIE.

    Значение заголовка должно быть передано в формате: {{'PHPSESSID=mntdtbgt87j3auaq60iori2i63; security=low'}}.

    Пример правила для переопределения COOKIE

  • Перепроверять атаки, отправленные на example.com, на тестовом окружении example-test.env.srv.loc.

    Адрес тестового окружения должен быть передан в формате: {{'example-test.env.srv.loc'}}.

    Пример правила для переопределения HOST