Was ist der beste Weg, um Web-Anwendungen Angriffe zu erkennen?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Was ist der beste Weg, wie schlechte Benutzer Verhalten oder Angriffe von Diensten oder Exploits auf meinem Web-App verweigert Umfrage und erkennt?
Ich weiß, Server Statistiken (wie Dinastats ) sind für diese Art von Zweck sehr nützlich, speziell zu sehen 3XX, 4XX- und 5XX Fehler ( hier eine Dinastats Beispielseite ), die oft Bots oder schlecht gemeinte Benutzer, die versuchen, bekannte schlechte oder fehlerhafte URLs.
Gibt es andere (und betters) Möglichkeiten zu analysieren und diese Art von Angriff versuchsweise zu erkennen?
. Hinweis: Ich spreche über URL-basierte Angriffe, keine Angriffe auf Serverkomponente (wie Datenbank oder TCP / IP)
Lösung
Melden Sie sich alles. Dann untersuchen Sie die Protokolle von Hand und finden Dinge, die uninteressant sind und einen Parser schreiben, die diese Protokolleinträge verwirft. Sobald Sie das getan haben, spülen und wiederholen, bis Sie mit nur interessanten Sachen sind links. Nun, da Sie nur interessante Protokolleinträge zu lesen haben, zu entscheiden, welche gefährlich sind und welche sind harmlos, aber lästig, und beheben als angemessen.
Andere Tipps
Wenn Sie das Budget haben, gehen Sie mit einer Web Application Firewall (WAF). Diese sind speziell gebaut für die Erkennung und Blockierung Angriffen auf Anwendungsebene. Es gibt auch einige billige WAFs, auch eine Open-Source ein oder zwei.
Beachten Sie jedoch, dass Sie immer noch eine sichere Codierung usw. üben sollte; eine WAF ist für Verteidigung in der Tiefe, und temporäres virtuelles Patching.
ich in der Regel meine eigenen Log Analyzer schreiben, dass die Ereignisse zu folgen versucht, die in der Regel geschieht, wenn die Navigation durch shomething nicht getan Menschen. Wie:
Direkter Zugriff auf Seiten mit URL oder Parameter unbekannt
Feedback-Formulare geladen, zusammengestellt und veröffentlicht in weniger als etwa 10 Sekunden
Wrong Referrer-Sequenzen
HTML oder „kritisch“ Zeichenfolge in diesem Thema geschrieben Feldern
Und so weiter ...
Zuerst muss man sagen, was ist oder kein Potential auszuschöpfen, manchmal eine URL kann eine gültige Anforderung sein und manchmal kann es ein XSS-Angriff sein. Vielen Verkehr ein DDoS sein kann, oder es kann ein Ergebnis auf einem Slashdot Artikel erwähnt werden wird.
Als nächstes können Sie Protokolle für verschiedene Angriffsarten betrachten - wie DDoS, die Sie wollen, werden mit Hilfe von IP-Tools überprüfen (wie viele DDoS-Angriffe auf Nicht-Web-Ports vorgenommen werden, wie zB SYN-Floods).
Dann möchten Sie mod_security installieren und einige Regeln dafür eingerichtet (Sie eine Menge von vordefinierten Regelsätze, die im Internet finden). Dieser liest die Anfrage und parst sie für gemeinsame oder bekannte Angriffe (wie URLs, die SQL- oder HTML-Typ Text enthalten).
Mehr Netzwerk als Ganzes aber SATAN ist sehr gut
http://www.porcupine.org/satan/
SATAN ist ein Werkzeug, Systemadministratoren zu helfen. Es erkennt mehrere gemeinsame netzwerkbezogenen Sicherheitsprobleme, und berichtet über die Probleme, ohne sie tatsächlich zu nutzen.
