ما يجب القيام به بشأن ScanAlert؟
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أحد عملائي يستخدم McAfee ScanAlert (أي HackerSafe).إنه يصل إلى الموقع بشكل أساسي بحوالي 1500 طلب سيئ يوميًا بحثًا عن الثغرات الأمنية.نظرًا لأنه يوضح سلوكًا ضارًا، فمن المغري حظره بعد بضعة طلبات سيئة، ولكن ربما ينبغي لي أن أسمح له بممارسة واجهة المستخدم.هل هو اختبار حقيقي إذا لم أتركه ينتهي؟
المحلول
أليس من العيوب الأمنية للموقع السماح للمتسللين بإلقاء كل ما في ترسانتهم ضد الموقع؟
حسنًا، يجب عليك التركيز على سد الثغرات، بدلًا من محاولة إحباط الماسحات الضوئية (وهي معركة عقيمة).فكر في إجراء مثل هذه الاختبارات بنفسك.
نصائح أخرى
من الجيد أن تقوم بحظر الطلبات السيئة بعد عدة محاولات، ولكن يجب أن تسمح لها بالاستمرار.إذا قمت بحظره بعد 5 طلبات سيئة، فلن تعرف ما إذا كان الطلب السادس لن يؤدي إلى تعطل موقعك.
يحرر:أقصد أن بعض المهاجمين قد يرسلون طلبًا واحدًا فقط ولكنه مشابه لطلب 1495 الذي لم تختبره لأنك حظرته، وقد يؤدي هذا الطلب إلى تدمير موقعك.
يتطلب منع الخروقات الأمنية استراتيجيات مختلفة لهجمات مختلفة.على سبيل المثال، لن يكون من غير المعتاد حظر حركة المرور من مصادر معينة أثناء هجوم رفض الخدمة.إذا فشل المستخدم في تقديم بيانات الاعتماد المناسبة أكثر من 3 مرات، فسيتم حظر عنوان IP أو قفل الحساب.
عندما يصدر ScanAlert مئات الطلبات التي قد تتضمن حقن SQL - على سبيل المثال لا الحصر - فإنه بالتأكيد يطابق ما يجب أن يعتبره رمز الموقع "سلوكًا ضارًا".
في الواقع، مجرد وضع UrlScan أو eEye SecureIIS في مكانه قد يؤدي إلى رفض العديد من هذه الطلبات، ولكن هل هذا اختبار حقيقي لكود الموقع.إنها مهمة رمز الموقع لاكتشاف المستخدمين/الطلبات الضارة ورفضها.في أي طبقة يكون الاختبار صالحًا؟
يقدم ScanAlert بطريقتين مختلفتين:عدد الطلبات المشوهة وتنوع كل طلب على حدة كاختبار.يبدو أن النصيحتين اللتين ظهرتا هما كما يلي:
- يجب ألا يحاول رمز الموقع اكتشاف حركة المرور الضارة من مصدر معين وحظر تلك الحركة، لأن ذلك مجهود غير مجدي.
- إذا حاولت القيام بمثل هذا الجهد غير المجدي، على الأقل قم باستثناء الطلبات من ScanAlert لاختبار الطبقات السفلية.
إذا لم يكن ذلك يضر بأداء الموقع، فأعتقد أنه أمر جيد.إذا كان لديك 1000 عميل في نفس الموقع، كلهم يفعلون ذلك، فنعم، قم بحظره.
ولكن إذا تم إنشاء الموقع لهذا العميل، فأعتقد أنه من العدل أن يفعلوا ذلك.
