ما هي أفضل طريقة لاكتشاف هجمات تطبيقات الويب؟
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي أفضل طريقة لمسح واكتشاف سلوك المستخدمين السيئين أو الهجمات مثل رفض الخدمات أو عمليات استغلال تطبيق الويب الخاص بي؟
أعرف إحصائيات الخادم (مثل أوستاتس) مفيدة جدًا لهذا النوع من الأغراض، خاصة لرؤية الأخطاء 3XX و4XX و5XX (إليك صفحة مثال لـ Awstats) والتي غالبًا ما تكون عبارة عن برامج روبوت أو مستخدمين ذوي نوايا سيئة يحاولون تجربة عناوين URL سيئة أو مشوهة معروفة.
هل هناك طرق أخرى (وأفضل) لتحليل واكتشاف هذا النوع من الهجمات المؤقتة؟
ملحوظة :أنا أتحدث عن الهجمات المستندة إلى عنوان URL، وليس الهجمات على مكونات الخادم (مثل قاعدة البيانات أو TCP/IP).
المحلول
سجل كل شيء.ثم قم بفحص السجلات يدويًا، وابحث عن الأشياء غير المثيرة للاهتمام واكتب محللًا يتجاهل إدخالات السجل هذه.بمجرد الانتهاء من ذلك، اشطفيه وكرري ذلك حتى يتبقى لديك الأشياء المثيرة للاهتمام فقط.الآن بعد أن أصبح لديك فقط إدخالات سجل مثيرة للاهتمام لتقرأها، حدد أي منها خطير وأيها غير ضار ولكنه مزعج، وقم بالإصلاح حسب الاقتضاء.
نصائح أخرى
إذا كانت لديك الميزانية، فاستخدم جدار حماية تطبيقات الويب (WAF).وقد تم تصميمها خصيصًا للتعرف على هجمات طبقة التطبيقات ومنعها.هناك أيضًا بعض WAFs الرخيصة، حتى واحدة أو اثنتين مفتوحة المصدر.
ومع ذلك، لاحظ أنه لا يزال يتعين عليك ممارسة البرمجة الآمنة وما إلى ذلك؛يعد WAF رائعًا للدفاع المتعمق والتصحيح الافتراضي المؤقت.
عادةً ما أكتب محلل السجلات الخاص بي، والذي يحاول متابعة الأحداث التي تحدث عادةً عندما يتم التنقل بواسطة شيء ما لا البشر.يحب:
الوصول المباشر إلى الصفحات ذات عنوان URL أو المعلمات غير معروفة
تم تحميل نماذج التعليقات وتجميعها ونشرها في أقل من 10 ثوانٍ على سبيل المثال
تسلسلات المرجع الخاطئ HTML أو تسلسل الأحرف "الحرجة" في الحقول المنشورة وما إلى ذلك ...
أولاً، عليك أن تحدد ما هو الاستغلال المحتمل أم لا، ففي بعض الأحيان قد يكون عنوان url طلبًا صالحًا وفي أحيان أخرى قد يكون هجوم XSS.قد تكون حركة المرور الكبيرة عبارة عن DDoS أو قد تكون نتيجة لذكرها في مقالة مائلة.
بعد ذلك، يمكنك عرض سجلات لأنواع مختلفة من الهجمات - مثل DDoS، والتي ستحتاج إلى التحقق منها باستخدام أدوات IP (نظرًا لأن الكثير من هجمات DDoS يتم إجراؤها على منافذ غير الويب، مثل تدفقات SYN).
ثم تريد تثبيت mod_security وإعداد بعض القواعد له (يمكنك العثور على الكثير من مجموعات القواعد المحددة مسبقًا على الويب).يقوم هذا بقراءة الطلب وتحليله بحثًا عن الهجمات الشائعة أو المعروفة (مثل عناوين URL التي تحتوي على نص من نوع SQL أو html).
المزيد من الشبكة ككل ولكن الشيطان جيد جدًا
http://www.porcupine.org/satan/
SATAN هي أداة لمساعدة مسؤولي الأنظمة.فهو يتعرف على العديد من المشكلات الأمنية الشائعة المتعلقة بالشبكات، ويقوم بالإبلاغ عن المشكلات دون استغلالها فعليًا.
