Перейти к содержанию

Игнорирование определенных типов атак

С помощью правила Игнорировать типы атак вы можете выключить обнаружение определенных типов атак в частях запросов к вашим приложениям.

По умолчанию нода Валарм реагирует на признаки всех типов атак вне зависимости от части запроса, в которой они переданы. Однако в некоторых случаях наличие признаков атак в некоторых частях запросов является нормой. Например, когда пользователь добавляет пост с описанием возможных SQL‑инъекций на форум администраторов баз данных.

В данных случаях обнаружение признаков атак является ложным срабатыванием. Чтобы избежать ложных срабатываний на легитимные запросы, вы можете адаптировать стандартные правила обнаружения атак под особенности приложения. Один из способов — выключить обнаружение определенных или типов атак в частях запросов к вашим приложениям с помощью правила Игнорировать типы атак.

Создание и применение правила

Чтобы создать и применить правило:

  1. Создайте правило Игнорировать типы атак в секции Правила в Консоли управления Валарм.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Типы атак, которые необходимо игнорировать в указанной части запроса.

      • На вкладке Выбранные типы атак вы можете выбрать один или несколько типов атак из тех, которые нода Валарм может обнаружить на момент создания правила.
      • Если выбрана вкладка Все типы атак (автообновление), нода Валарм будет игнорировать как типы атак, известные на момент создания правила, так и добавленные позже. Например: если Валарм добавит обнаружение нового типа атаки, нода автоматически начнет игнорировать признаки нового типа атаки в указанном элементе запроса.
        • Часть запроса определяет элемент исходного запроса, в котором не нужно искать признаки указанных типов атак.
  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Допустим, когда пользователь подтверждает публикацию поста на форуме, клиент отправляет POST‑запрос на эндпоинт https://example.com/posts/:

  • Текст поста отправляется в параметре postBody в теле запроса. В тексте поста могут встречаться команды SQL, которые Валарм может определить как вредоносный пэйлоад.

  • Тело запроса имеет тип application/json.

Пример cURL‑запроса с признаками SQL‑инъекции:

curl -H "Content-Type: application/json" -X POST https://example.com/posts -d '{"emailAddress":"johnsmith@example.com", "postHeader":"SQL injections", "postBody":"My post describes the following SQL injection: ?id=or+1=1--a-<script>prompt(1)</script>"}'

Чтобы отключить обнаружение SQL-инъекций в параметре postBody в запросах к https://example.com/posts/, вы можете настроить правило следующим образом:

Пример правила "Игнорировать типы атак"