Ana içeriğe geç

Threat Replay Testing Kurulumu

Bu makale, Wallarm'ın [Threat Replay Testing]'ini nasıl etkinleştireceğinizi ve yapılandıracağınızı açıklamaktadır.

Etkinleştir

Threat Replay Testing varsayılan olarak devre dışıdır. Etkinleştirmek ve çalıştırmak için:

  1. US Cloud veya EU Cloud bağlantısını takip ederek Wallarm Console → Threat Replay Testing bölümüne gidin ve Enable Threat Replay Testing anahtarını aktif hale getirin.

    Eğer Threat Replay Testing görünmüyorsa, Wallarm'ın teknik desteğiyle iletişime geçin.

  2. Threat Replay Testing IP adreslerini whitelists listenize ekleyin.

  3. Test policies sekmesine gidin ve en az bir politika oluşturun.

IP Adresleri

Threat Replay Testing IP adreslerini, Wallarm dışındaki, trafiği otomatik olarak filtreleyip engellemek için kullandığınız yazılım veya donanım tesislerindeki whitelist listelerine eklemeniz önerilir. Bu, Threat Replay Testing'in bu tesisler tarafından engellenmesini önleyecektir.

US ve EU Cloud'ları için bu IP adreslerinin listesi burada sunulmaktadır.

Test Politikalarını Yapılandırma

Filtreleme düğümü, belirli bir uç noktada saldırı tespit ettiğinde, bu uç noktanın bu saldırı türüne karşı savunmasız olup olmadığını kontrol etmek için etkinleştirilmiş Threat Replay Testing'in testleri çalıştırması tetiklenir.

Bu testlerin çalıştırılıp çalıştırılmayacağı ve tam olarak nasıl çalıştırılacağı, her biri aşağıdakileri tanımlayan test politikaları tarafından belirlenir:

  • Hangi ana bilgisayar üzerinde testlerin çalıştırılacağı.

  • Testlerin hangi ortamda çalıştırılacağı.

  • Testlerin hangi saldırı türü için çalıştırılacağı (bkz. limitations).

  • Bu uç nokta ve saldırı türü için testin ne sıklıkta yeniden çalıştırılacağı.

  • Opsiyonel olarak, test ortamında yürütülmeden önce test isteğinin nasıl değiştirilmesi gerektiği.

Threat Replay Testing - test policy

Birkaç Test Politikasının Etkileşimi

Aşağıdakileri göz önünde bulundurun:

  • Hiçbir politika yok → test yapılmaz.

  • Bu ana bilgisayar/saldırı türü için hiçbir politika yok → test yapılmaz.

  • Ana bilgisayarı etkileyen birkaç politika → birkaç ayrı test.

Zamanlama ile ilgili olarak: Eğer bu uç nokta ve saldırı türü için test daha önceden yapıldıysa ve bu uç noktada bu saldırı türünden yeni saldırılar meydana gelirse, test Period süresi dolmadan yeniden çalıştırılmayacaktır.

Host ve Replay Host

Testlerin hangi ana bilgisayar üzerinde çalıştırılacağını ve hangi ortamda yürütüleceğini belirlemek için Host affected by attack ve Replay attack on host alanlarını kullanın.

Her iki alanda da yakalama grupları ve geri başvuruları içeren düzenli ifadeleri kullanabilirsiniz. Aşağıda en yaygın senaryoların örneklerini bulabilirsiniz.

Senaryo #1: Belirli bir ana bilgisayarda rastgele alt alan adlarındaki saldırıların tekrar kontrolü

Saldırıya maruz kalan host: .+\.wallarm\.com
Replay attack on host: test.wallarm.com

Sonuç:

  • www.wallarm.com üzerindeki herhangi bir saldırı test.wallarm.com üzerinde test edilecektir.

  • dev.wallarm.com üzerindeki herhangi bir saldırı test.wallarm.com üzerinde test edilecektir.

Senaryo #2: Ana bilgisayar adının ortasında yer değiştirme

Saldırıya maruz kalan host: (.+)\.wallarm\.com
Replay attack on host: \1.test-wallarm.com

Sonuç:

  • www.wallarm.com üzerindeki saldırı www.test-wallarm.com üzerinde test edilecektir.

  • dev.wallarm.com üzerindeki saldırı dev.test-wallarm.com üzerinde test edilecektir.

Senaryo #3: Aynı ana bilgisayarda herhangi bir isteğin tekrar kontrolü

Saldırıya maruz kalan host: (.+)
Replay attack on host: \1

Sonuç:

  • www.wallarm.com üzerindeki saldırı www.wallarm.com üzerinde test edilecektir.

  • dev.wallarm.com üzerindeki saldırı dev.wallarm.com üzerinde test edilecektir.

Senaryo #4: Belirli bir ana bilgisayardaki saldırının belirli bir ana bilgisayarda tekrar kontrolü

Saldırıya maruz kalan host: www\.wallarm\.com
Replay attack on host: test.wallarm.com

Sonuç:

  • www.wallarm.com üzerindeki saldırı test.wallarm.com üzerinde test edilecektir.

  • dev.wallarm.com üzerindeki saldırı test edilmeyecektir.

Yeniden Yazımlar

Varsayılan olarak, Threat Replay Testing, belirli kimlik doğrulama parametrelerini kaldırma hariç orijinal istek verilerini korur. Test saldırı setini oluşturmadan önce orijinal istek öğelerini değiştirmek için test politikalarının Rewrites bölümünü kullanabilirsiniz. Bu, orijinal kimlik doğrulama verilerini test verileriyle değiştirdiğinizde veya alternatif adreslerde saldırı tekrarı gerçekleştirdiğinizde özellikle yararlı olabilir.

Orijinal herhangi bir istek öğesinin modifikasyonu

Orijinal isteklerin yalnızca başlıklarını (header) ve yollarını (uri) değiştirebilirsiniz. Diğer istek öğeleri değiştirilemez veya eklenemez.

Yeniden Yazım Örneği

Aşağıdakiler, example.com üzerinde tekrarlanan saldırıların COOKIE başlığında PHPSESSID=mntdtbgt87j3auaq60iori2i63; security=low değerini taşımasını sağlamak için yapılan yeniden yazımdır.

Example of rewrite modifying COOKIE