潜在的跨站脚本 (XSS)

编辑

跨站脚本 (XSS) 是一种攻击类型,其中恶意脚本被注入到受信任的网站中。在 XSS 攻击中,攻击者利用一个良性的 Web 应用程序发送恶意代码,通常是以浏览器端脚本的形式。此检测规则识别此类浏览器端脚本的潜在恶意执行。

规则类型: eql

规则索引:

  • apm--transaction
  • traces-apm*

严重性: 低

风险评分: 21

运行频率: 60 分钟

搜索索引时间范围: now-119m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 数据源:APM
  • 用例:威胁检测
  • 战术:初始访问
  • 规则类型:BBR

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
any where processor.name == "transaction" and
url.fragment : ("<iframe*", "*prompt(*)*", "<script*>", "<svg*>", "*onerror=*", "*javascript*alert*", "*eval*(*)*", "*onclick=*",
"*alert(document.cookie)*", "*alert(document.domain)*","*onresize=*","*onload=*","*onmouseover=*")

框架: MITRE ATT&CKTM