WAF-どの自動化ツールがアラートを引き起こしているかを知る方法
WAFがアラートをスローしているとき、潜在的な攻撃者がサイトに対して使用しているスクリプトまたは自動化ツールをフィンガープリントするツールまたは方法はありますか?
どのツールを使用しているかを絞り込んで把握するために、どのような手法を使用できますか?
妥当な出発点の1つは、懸念している要求に対するUser-Agentが何であるかを確認することです。私はそれが偽造されることを期待します、しかしそれはまだ識別可能な方法で偽造されるかもしれません。
また、WAFのテストインスタンスに対して実行し、ログとアラートを収集することで、いくつかの可能性のある原因のプロファイリングを検討することもできます(少なくとも一部のツールには予測可能な一連の攻撃があると思います)。
ただし、実際の攻撃が何であるか(そしてどの攻撃があなたに関連しているか)だけでなく、どのスクリプトが何を実行しているかについて心配したいのかどうかは完全にはわかりません。それがどのように興味深いことになるかは完全に理解できますが。
知る方法はありません。攻撃ベクトルを検索するか、ユーザーエージェントヘッダーを調べて、価値のあるものが含まれているかどうかを確認することで、知識に基づいた推測を行うことができます。それでも、攻撃者がすべてを変更できるため、何の意味もありません。