提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

一、问题概述:安全日志误判分析思路概述

|

问题描述

误判大致分为两种类型:
1、规则误判:即规则原因导致的误判,比如图片编码传输后解码出来是乱码,如果规则匹配条件比较宽松,匹配上乱码信息就会触发拦截导致误判发生;或者由于配置和业务环境等原因,非HTTP的流量被WEB应用防护检测,由于匹配不到头部信息导致乱码误判。
2、业务误判:规则正常匹配上了符合预期的数据,但是这部分数据是客户业务系统传输所需要的,常见的有SQL注入(客户端直接提交SQL语句到服务器);XSS攻击(客户端直接把整个网页提交到服务器);应用隐藏(404页面包含了业务信息)等。

有效排查步骤

1、获取有效信息,如:日志截图,数据包,日志导出文件等
2、分析日志,确认规则匹配是否正常,检查基本配置
3、分析数据包,确认是否业务不规范导致的误判

解决方案

联系技术支持建议提供以下信息:
1、故障现象描述:
2、故障发生时间与影响范围:
3、数据包或者其他相关信息:
4、日志信息文件导出:
5、设备部署模式、网络拓扑与数据流方向:
6、设备版本信息与已经做的排查:

我要分享
文档编号: 232695
作者: admin
更新时间: 2023-01-05 17:29
适用版本: