False Positive Mitigation for SQL Injection Signatures

 signature هایی که دستگاه FortiWeb جهت شناسایی حملات SQL Injection استفاده می کند، در سه کلاس تقسیم بندی می شوند:

• SQL Injection
  
• SQL Injection (Extended)
  
• SQL Injection (Syntax Based Detection)

زمانی که SQL Injection یا SQL Injection Extended فعال می شود، دستگاه FortiWeb درخواست ها را اسکن و آن ها را بر اساس شناسایی الگوی مربوطه، با Signature ها Match می کند. بهر حال چنین روش شناسایی به طور اجتناب ناپذیر باعث نتایج نادرست خواهد شد و یک درخواست امن احتمالا به اشتباه به عنوان یک حمله از نوع SQL Injection در نظر گرفته می شود. به عنوان مثال در زیر یک SQL Injection که به عنوان یک خطای امنیتی در نظر گرفته می شود را مشاهده می کنید:

GET /test.asp?id=1 and 0<>(select count(*) from user_table where user like 'admin') HTTP/1.1

به هر حال یک درخواست امن نیز توسط Signature به صورت اشتباه به عنوان یک درخواست مخرب شناسایی خواهد شد اگر  کلمات Select و User در مقدار پارامتر وجود داشته باشد. به عنوان مثال:

GET /test.asp?text= please select a user from the group to test our new product HTTP/1.1

زمانی که ویژگی False Positive Mitigation در دستگاه FortiWeb فعال می شود، درخواست مجددا جهت تایید این که آیا یک دستور العمل SQL است یا خیر، توسط یک Signature مورد بررسی قرار می گیرد. اگر نتیجه مثبت بود حال می توانید درخواست فوق را یک SQL Injection در نظر بگیرید.

فعال سازی False Positive Mitigation برای SQL Injection و SQL Injection Extended

• زمانی که SQL Injection یا SQL Injection Extended را در یک Signature Policy فعال می کنید، می توانید ویژگی False Positive Mitigation را نیز برای Signature ها فعال کنید. بدین منظور از منوی سمت چپ به مسیر زیر بروید.

Web Protection > Known Attacks > Signatures

• در ادامه Signature Policy مورد نظر را جهت ویرایش انتخاب کنید و ویژگی False Positive Mitigation را برای SQL Injection و SQL Injection Extended در ستون مربوطه فعال کنید.

• همچنین می توانید با انتخاب گزینه ی Signature Details در صفحه تنظیمات فوق و انتخاب SQL Injection یا SQL Injection Extended ویژگی False Positive Mitigation را فعال یا غیر فعال کنید.

• در این مرحله باید Signature هایی که قصد دارید ویژگی False Positive Mitigation بر روی آن ها اعمال شود را مشخص کنید. در واقع ویژگی فوق برای همه ی Signature هایی که در دسته ی SQL Injection و SQL Injection Extended قرار دارند طراحی نشده است. Signature های خاص از قبیل 030000010، 030000019 و 030000042 در SQL Injection یا 040000010، 040000019 و 040000042 در SQL Injection Extended از ویژگی False Positive Mitigation پشتیبانی می کنند.