当POST请求内容存在攻击特征被拦截时,需要通过请求报文分析拦截原因。由于POST请求内容属于用户敏感信息,按照国家法律规定,安全厂商不得记录POST请求内容,因此无法直接通过云安全平台查看,需要使用其他方式获取,以下为获取Payload的常用方法。
方法一:客户端浏览器获取
获取步骤:(截图以谷歌浏览器为例,其他浏览器操作类似)
1.在出现拦截的电脑上打开浏览器开发者模式,选择Network并勾选Preserve log;
2.输入网址重新进行一次被拦截前的操作,再次被拦截后点击下载导出HAR文件;
3.将文件发送知道创宇技术顾问协助分析。
方法二:客户端抓包获取
若被拦截的请求为非浏览器请求,无法使用方法一,且请求为http协议,可以使用客户端抓包的方式获取。
操作步骤:(截图以Wireshark为例,其他抓包工具类似)
1.在出现拦截的电脑上打开本地抓包软件,执行抓包并过滤要抓取的域名;
2.重新进行一次被拦截前的操作,复现拦截后检查抓包内容中存在403状态码的包,停止抓包;
3.将抓包文件保存并发送知道创宇技术顾问协助分析。
方法三:服务器获取(此方法需网站管理员操作)
如客户端不方便获取Payload,当前用户确认可信的情况下可以临时添加IP白名单,云防护平台暂时放行该请求,从源站服务器上获取Payload内容。获取后将Payload发送知道创宇技术顾问协助分析,并删除添加的白名单。
IP白名单功能位于:抗D保/加速乐/创宇盾–> 功能管理 –> 通用设置 –> 黑白名单。
注意:此方法将放行存在攻击特征的请求到服务器,若该请求具有危害性,将给服务器带来隐患,建议谨慎使用此方法。