Quando un WAF lancia avvisi a modo tuo c'è uno strumento o un modo per impronte digitali dello script o dello strumento automatico che il potenziale aggressore sta usando contro il sito?
Quali tecniche posso utilizzare per restringere e capire quale strumento viene utilizzato?
Un punto di partenza ragionevole potrebbe essere la verifica di quale sia lo User-Agent per le richieste che ti interessano. Mi aspetterei che sia forgiato, ma potrebbe essere forgiato in un modo che è ancora identificabile.
Potresti anche prendere in considerazione la profilazione di alcuni probabili colpevoli (mi aspetterei almeno alcuni strumenti per avere una sequenza prevedibile di attacchi), eseguendoli contro un'istanza di test del WAF e raccogliendo i log e gli avvisi.
Non sono del tutto sicuro, però, che tu voglia preoccuparti di quale script sta facendo cosa, tanto quanto gli attuali attacchi (e quali sono rilevanti per te). Anche se posso vedere come sarebbe una cosa interessante da sapere.
Non c'è modo di sapere. Puoi fare un'ipotesi istruita cercando il vettore di attacco o guardando l'intestazione dell'agente utente per vedere se contiene qualcosa di valore. Anche allora, non significa nulla perché può essere modificato dall'attaccante.
Leggi altre domande sui tag waf fingerprinting