« Web 应用程序可疑活动:未授权的方法 Web Shell 检测:脚本进程是常见 Web 进程的子进程 »
Elastic Docs Elastic Security Solution [8.14] 检测和警报 预置规则参考

Web 应用程序可疑活动:sqlmap 用户代理

编辑

Web 应用程序可疑活动:sqlmap 用户代理编辑

以下是如何检测不受欢迎的 Web 客户端用户代理的示例。此搜索匹配 sqlmap 1.3.11 的用户代理,sqlmap 1.3.11 是用于测试 Web 应用程序的 SQL 注入漏洞的流行 FOSS 工具。

规则类型:查询

规则索引:

  • apm--transaction
  • traces-apm*

严重性:中等

风险评分: 47

每隔运行:5 分钟

从以下时间开始搜索索引:无(日期数学格式,另请参阅 附加回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 数据源:APM

版本: 102

规则作者:

  • Elastic

规则许可证:Elastic License v2

规则查询编辑

user_agent.original:"sqlmap/1.3.11#stable (http://sqlmap.org)"
« Web 应用程序可疑活动:未授权的方法 Web Shell 检测:脚本进程是常见 Web 进程的子进程 »