应用防火墙

tCell攻击传感器识别各种形式的恶意输入模式。被识别为恶意的特定文本或字节称为有效负载。

您可以使用App Firewall屏幕来配置所收集的有效负载数据、数据存储的位置以及tCell将检测到的特定攻击模式。

默认情况下,为了提供最多的攻击上下文,负载数据被发送到tCell云。如果需要,也可以在本地记录这些数据。

在使用tCell之前识别敏感字段

在使用tCell之前,确定包含敏感数据(如密码)的所有字段并将它们添加到排除发送有效负载参数列表。作为额外的安全层,tCell有一个常见的敏感字段名称列表,例如passwd密码,csrftoken.代理不会将列表中的参数值发送到tCellcloud,也不会在本地记录它们。这与传输经过消毒的数据无关

代理总是向服务提供App Firewall事件的请求URI的经过净化的版本。如果收集完整的(未消毒的)uri选项启用时,tCell还将将整个未消毒的URI发送到tCell云,因为它将出现在访问日志中。

请注意

“排除发送有效负载的参数”列表中的参数和默认敏感参数如果启用了这个选项并且URI包含它们,仍然会发送到tCell。

可以将特定的路由和路径排除在特定模式的监视之外。最常见的情况是,当模式产生太多的假阳性时。为此,在模式的右侧单击添加并输入要排除的路线或图案。

使XXE检测

可在“应用防火墙”策略中启用XXE检测。

  1. 在“策略”界面,单击“应用防火墙”页签。
  2. 向下滚动到标题为“XML外部实体(XXE)”的部分。勾选“启用”复选框。
  3. 想要捕获所有可能的恶意XML有效负载的用户应该选中默认的“tc-xxe-1”模式旁边的“正则表达式(模式ID)”。高级用户可能希望添加并启用自己的正则表达式。
  4. 点击屏幕底部横幅上的“部署”。可在“应用防火墙”策略中启用XXE检测。

FAQ:我可以启用没有正则表达式的XXE吗?

用户必须至少启用一个XXE正则表达式才能查看tCell中的XXE事件。

Allowlist规则

Allowlist Rules配置选项允许用户通过将正则表达式匹配到请求字段来排除触发tCell事件的某些请求。

我应该在什么时候配置允许列表规则?

当默认的tCell正则表达式匹配应用程序中常见的或预期的请求字段值时,Allowlist Rules可能很有用。而不是筛选许多误报事件,或排除一个特定的请求字段完全使用事件过滤,用户可以配置一个allowlist规则,涵盖该字段的预期值。

如何配置允许列表规则?

“允许列表规则”选项位于“应用防火墙”策略配置页面的底部。allowlist规则有多个部分:

  1. 一个可选的描述
  2. 是否启用或禁用规则。这可以使用标签为“启用”的复选框进行切换。
  3. 一个路由路径匹配。
    • Routes:可以使用下拉菜单选择tCell在当前应用程序中发现的任何路由,也可以将该字段保留为空以匹配所有路由。
    • “Paths”:选择请求方法,然后输入“Path”的值。对于allowlist规则,“空路径”不适用,也不应该使用。
  4. 要在其上应用正则表达式的字段。选择字段类型(例如HTTP报头、查询参数等)并输入参数名称。
  5. 一个正则表达式。用户可以选择之前在tCell中定义的任何正则表达式,也可以创建一个新的正则表达式。确保在选择正则表达式后点击“保存选择”。

要创建新规则,请单击“Add”,填写表单,然后保存规则并部署更改。

支持版本

以下代理版本支持Allowlist规则:

  • JVM Agent >= 1.4.0

在哪些情况下允许列表规则会匹配请求?

为了匹配请求,

  1. 请求必须包含在allowlist规则中配置的字段。
  2. 该字段的值必须与规则中配置的正则表达式匹配。
  3. 给定带有特定检测点的事件(例如XXS),检测事件必须由规则中配置的字段触发。如果一个Detection Point应用于请求中没有在allowlist规则中配置的另一个字段,则仍然会发送相应的事件。

例如,给定以下规则:

路线 正则表达式
得到/ 查询参数p_name * * tcell

该规则将匹配任何GET请求/使用查询参数p_name,如果p_name的值包含tcell.现在考虑以下请求:

         

          

           
          

         

          

           

            1

           GET / ? p_name = > <脚本警报(1);> < /脚本tcell

上面的Allowlist规则匹配此请求,将忽略发送的XSS事件。现在考虑一个稍微不同的请求:

         

          

           
          

         

          

           

            1

           脚本/ ? p_name = tcell&other_p_name = < >警报(1);> < /脚本

在这种情况下,仍然会发送一个XXS事件,因为规则不匹配触发XXS事件的字段。

可疑的演员

此选项卡允许您进行配置可疑的演员设置。您可以选择自动阻止可疑角色你喜欢的模式。所有目前被tCell识别为可疑的ip将被列在可疑的“诱导多能性”

屏蔽规则

该选项卡允许您添加URI路径或IP地址,以阻止访问您的应用程序屏蔽规则启用选项被选中。

您可以通过点击IP右侧的小提示图标,为您已添加到允许列表和拒绝列表的任何IP添加注释。