遇到 ScanAlert 该怎么办？

Question

我的一位客户使用 McAfee ScanAlert（即 HackerSafe）。它基本上每天会向网站发送约 1500 个不良请求，寻找安全漏洞。由于它表现出恶意行为，因此很容易在几个错误请求后阻止它，但也许我应该让它使用 UI。如果我不让它完成，这就是真正的考验吗？

Answer 1

让黑客对网站倾尽所有，这难道不是网站的安全缺陷吗？

好吧，你应该专注于堵住漏洞，而不是试图阻止扫描仪（这是一场徒劳的战斗）。考虑自己运行此类测试。

Answer 2

经过几次尝试后阻止不良请求是件好事，但您应该让它继续下去。如果您在 5 个错误请求后阻止它，您将不知道第 6 个请求是否会导致您的网站崩溃。

编辑：我的意思是，某些攻击者可能只发送一个请求，但类似于您因阻止而未测试的 1495 个请求之一，而这一请求可能会破坏您的网站。

Answer 3

防止安全漏洞需要针对​​不同的攻击采取不同的策略。例如，在拒绝服务攻击期间阻止来自某些来源的流量并不罕见。如果用户未能提供正确凭据超过 3 次，IP 地址将被阻止或帐户被锁定。

当 ScanAlert 发出数百个可能包括 SQL 注入的请求（仅举一例）时，它肯定符合站点代码应考虑的“恶意行为”。

事实上，仅仅放置 UrlScan 或 eEye SecureIIS 可能会拒绝许多此类请求，但这是对站点代码的真正测试。站点代码的工作是检测恶意用户/请求并拒绝它们。测试在哪一层有效？

ScanAlert 以两种不同的方式呈现：格式错误的请求数量以及每个单独请求的多样性作为测试。出现的两条建议似乎如下：

1. 站点代码不应尝试检测来自特定来源的恶意流量并阻止该流量，因为这是徒劳的。
2. 如果您确实尝试这种徒劳的努力，至少要对来自 ScanAlert 的请求进行例外处理，以便测试较低层。

Answer 4

如果它不损害网站的性能，我认为这是一件好事。如果同一个网站有 1000 个客户端都这样做，是的，阻止它。

但如果该网站是为该客户建立的，我认为他们这样做是很公平的。