› › ›

潜在的跨站脚本 (XSS)

编辑

潜在的跨站脚本 (XSS)

编辑

跨站脚本 (XSS) 是一种攻击类型，攻击者会将恶意脚本注入受信任的网站。在 XSS 攻击中，攻击者利用良性 Web 应用程序发送恶意代码，通常以浏览器端脚本的形式。此检测规则识别此类浏览器端脚本的潜在恶意执行。

规则类型: eql

规则索引:

apm--transaction
traces-apm*

严重性: 低

风险评分: 21

每隔: 60 分钟

搜索索引自: now-119m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://github.com/payloadbox/xss-payload-list

标签:

数据源：APM
用例：威胁检测
策略：初始访问
规则类型：BBR

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

any where processor.name == "transaction" and
url.fragment : ("<iframe*", "*prompt(*)*", "<script*>", "<svg*>", "*onerror=*", "*javascript*alert*", "*eval*(*)*", "*onclick=*",
"*alert(document.cookie)*", "*alert(document.domain)*","*onresize=*","*onload=*","*onmouseover=*")

框架: MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：驾车式入侵
- ID：T1189
- 参考网址：https://attack.mitre.org/techniques/T1189/

« 通过 Windows 实用程序获取凭据的潜在风险潜在的 DGA 活动 »