Was tun gegen ScanAlert?
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Einer meiner Kunden verwendet McAfee ScanAlert (d. h. HackerSafe).Im Grunde wird die Website täglich mit etwa 1.500 fehlerhaften Anfragen auf der Suche nach Sicherheitslücken heimgesucht.Da es bösartiges Verhalten zeigt, ist es verlockend, es nach ein paar fehlerhaften Anfragen einfach zu blockieren, aber vielleicht sollte ich es die Benutzeroberfläche ausüben lassen.Ist es ein echter Test, wenn ich es nicht zu Ende lasse?
Lösung
Ist es nicht eine Sicherheitslücke der Website, dass Hacker alles Mögliche gegen die Website einsetzen?
Nun, Sie sollten sich darauf konzentrieren, Lücken zu schließen, anstatt zu versuchen, Scanner zu vereiteln (was ein vergeblicher Kampf ist).Erwägen Sie, solche Tests selbst durchzuführen.
Andere Tipps
Es ist gut, dass Sie fehlerhafte Anfragen nach ein paar Versuchen blockieren, aber Sie sollten es weiterhin laufen lassen.Wenn Sie es nach fünf fehlerhaften Anfragen blockieren, wissen Sie nicht, ob die sechste Anfrage Ihre Website nicht zum Absturz bringen würde.
BEARBEITEN:Ich meinte, dass ein Angreifer möglicherweise nur eine Anfrage sendet, die jedoch einer dieser 1495 ähnelt, die Sie nicht getestet haben, weil Sie sie blockiert haben. Diese eine Anfrage könnte Ihre Website zum Absturz bringen.
Die Verhinderung von Sicherheitsverletzungen erfordert unterschiedliche Strategien für unterschiedliche Angriffe.Beispielsweise wäre es nicht ungewöhnlich, während eines Denial-of-Service-Angriffs den Datenverkehr von bestimmten Quellen zu blockieren.Wenn ein Benutzer mehr als dreimal keine korrekten Anmeldeinformationen angibt, wird die IP-Adresse gesperrt oder das Konto gesperrt.
Wenn ScanAlert Hunderte von Anfragen ausgibt, die unter anderem SQL-Injection beinhalten können, entspricht dies mit Sicherheit dem, was der Site-Code als „böswilliges Verhalten“ betrachten sollte.
Tatsächlich kann die bloße Installation von UrlScan oder eEye SecureIIS viele solcher Anfragen ablehnen, aber ist das ein echter Test des Site-Codes?Es ist die Aufgabe des Site-Codes, böswillige Benutzer/Anfragen zu erkennen und abzulehnen.Auf welcher Ebene ist der Test gültig?
ScanAlert präsentiert sich auf zwei verschiedene Arten:die Anzahl der fehlerhaften Anfragen und die Vielfalt jeder einzelnen Anfrage als Test.Es scheint, als ob die beiden Ratschläge, die dabei herauskommen, wie folgt lauten:
- Der Site-Code sollte nicht versuchen, böswilligen Datenverkehr von einer bestimmten Quelle zu erkennen und diesen Datenverkehr zu blockieren, da dies ein vergeblicher Aufwand ist.
- Wenn Sie einen solch vergeblichen Versuch unternehmen, machen Sie zumindest eine Ausnahme für Anfragen von ScanAlert, um niedrigere Schichten zu testen.
Wenn es die Leistung der Website nicht beeinträchtigt, halte ich es für eine gute Sache.Wenn Sie 1000 Clients auf derselben Site haben, die das alle tun, ja, blockieren Sie es.
Aber wenn die Website für diesen Kunden erstellt wurde, ist es meiner Meinung nach fair, dass sie das tun.
