¿Qué hacer con ScanAlert?
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Uno de mis clientes usa McAfee ScanAlert (es decir, HackerSafe).Básicamente, llega al sitio con alrededor de 1500 solicitudes incorrectas por día en busca de agujeros de seguridad.Dado que demuestra un comportamiento malicioso, es tentador simplemente bloquearlo después de un par de solicitudes incorrectas, pero tal vez debería dejar que ejerza la interfaz de usuario.¿Es una verdadera prueba si no la dejo terminar?
Solución
¿No es una falla de seguridad del sitio permitir que los piratas informáticos arrojen todo lo que tienen en su arsenal contra el sitio?
Bueno, deberías concentrarte en cerrar los agujeros, en lugar de intentar frustrar los escáneres (lo cual es una batalla inútil).Considere realizar estas pruebas usted mismo.
Otros consejos
Es bueno que bloquees la solicitud incorrecta después de un par de intentos, pero debes dejar que continúe.Si lo bloquea después de 5 solicitudes incorrectas, no sabrá si la sexta solicitud no bloqueará su sitio.
EDITAR:Quise decir que algún atacante podría enviar solo una solicitud, pero similar a una de esas 1495 que no probaste porque bloqueaste, y esta solicitud podría bloquear tu sitio.
Prevenir violaciones de seguridad requiere diferentes estrategias para diferentes ataques.Por ejemplo, no sería inusual bloquear el tráfico de ciertas fuentes durante un ataque de denegación de servicio.Si un usuario no proporciona las credenciales adecuadas más de 3 veces, la dirección IP se bloquea o la cuenta se bloquea.
Cuando ScanAlert emite cientos de solicitudes que pueden incluir inyección SQL (por nombrar una), ciertamente coincide con lo que el código del sitio debería considerar "comportamiento malicioso".
De hecho, simplemente implementar UrlScan o eEye SecureIIS puede rechazar muchas de estas solicitudes, pero es una verdadera prueba del código del sitio.El trabajo del código del sitio es detectar usuarios/solicitudes maliciosos y rechazarlos.¿En qué capa es válida la prueba?
ScanAlert se presenta de dos maneras diferentes:el número de solicitudes con formato incorrecto y la variedad de cada solicitud individual como prueba.Parece que los 2 consejos que surgen son los siguientes:
- El código del sitio no debe intentar detectar tráfico malicioso de una fuente particular y bloquear ese tráfico, porque es un esfuerzo inútil.
- Si intenta realizar un esfuerzo tan inútil, al menos haga una excepción con las solicitudes de ScanAlert para probar las capas inferiores.
Si no afecta el rendimiento del sitio, creo que es algo bueno.Si tuvieras 1000 clientes en el mismo sitio haciendo eso, sí, bloquéalo.
Pero si el sitio fue creado para ese cliente, creo que es justo que lo hagan.
