Перейти к содержанию

Управление набором парсеров запросов

С помощью правила Выключить/Включить парсеры запросов вы можете управлять набором парсеров, которые нода Валарм применяет к запросу при анализе.

По умолчанию нода последовательно применяет к каждой части запроса все подходящие парсеры. Однако в некоторых случаях нода может ошибочно применить парсер и распознать атаку в декодированном значении.

Например: нода может ошибочно применить парсер base64 к незакодированному значению элемента запроса, так как символы алфавита Base64 часто встречаются в обычном тексте, токенах, UUID и т.д. Если нода обнаружит признаки атаки в декодированном значении, запрос будет считаться атакой. Однако обнаружение атаки в данном случае — ложное срабатывание.

Чтобы исключить обнаружение признаков атак в подобных случаях, вы можете выключить парсеры для определенных элементов запроса с помощью правила Выключить/Включить парсеры запросов.

Создание и применение правила

Чтобы создать и применить правило:

  1. Создайте правило Выключить/Включить парсеры запросов в секции Правила в Консоли управления Валарм.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Парсеры, которые необходимо выключить / включить для указанного элемента запроса.
    • Часть запроса определяет элемент исходного запроса, для которого необходимо выключить / включить выбранные парсеры.
  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Допустим, в запросах к https://example.com/users/ необходимо передавать заголовок X-AUTHTOKEN с токеном для аутентификации. В токене могут использоваться комбинации, которые Валарм декодирует с помощью парсера base64 и определит как вредоносные (например, = в конце значения параметра).

Чтобы избежать ложных срабатываний на пэйлоады в значении X-AUTHTOKEN, вы можете настроить правило Выключить/Включить парсеры запросов следующим образом:

Пример правила "Выключить/Включить парсеры запросов"