Cuando un WAF está lanzando alertas, ¿hay alguna herramienta o forma de tomar las huellas digitales del script o la herramienta automatizada que el atacante potencial está usando contra el sitio?
¿Qué técnicas puedo usar para reducir y averiguar qué herramienta se está utilizando?
Un punto de partida razonable podría ser verificar qué es el User-Agent para las solicitudes que le preocupan. Yo esperaría que fuera falsificado, pero puede ser forjado de una manera que aún sea identificable.
También podrías considerar crear un perfil de algunos posibles culpables (esperaría que al menos algunas herramientas tengan una secuencia predecible de ataques), ejecutándolos contra una instancia de prueba de tu WAF, y recolectando los registros y alertas.
No estoy completamente seguro, sin embargo, de que quieras preocuparte por qué script está haciendo qué, tanto como cuáles son los ataques reales (y cuáles son relevantes para ti). Aunque puedo ver totalmente cómo sería interesante saber eso.
No hay manera de saberlo. Puede hacer una adivinación educada buscando el vector de ataque o mirando el encabezado del agente de usuario para ver si contiene algo de valor. Incluso entonces, no significa nada porque todo puede ser alterado por el atacante.
Lea otras preguntas en las etiquetas waf fingerprinting