¿Cuál es la mejor manera de detectar ataques de aplicaciones web?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es la mejor manera de encuestar y detectar comportamientos o ataques de usuarios incorrectos, como negar servicios o vulnerabilidades en mi aplicación web?
Sé que las estadísticas del servidor (como Awstats ) son muy útiles para ese tipo de propósitos, especialmente para ver Errores 3XX, 4XX y 5XX ( aquí hay una página de ejemplo de Awstats ) que a menudo son bots o usuarios malintencionados que intentan URLs mal formadas o conocidas.
¿Hay otras (y mejores) formas de analizar y detectar ese tipo de ataque tentativo?
Nota: estoy hablando de ataques basados ??en URL, no de ataques en componentes del servidor (como base de datos o TCP / IP).
Solución
Registrar todo. Luego examine los registros a mano, busque cosas que no sean interesantes y escriba un analizador que descarte esas entradas de registro. Una vez que haya hecho eso, enjuague y repita hasta que quede solo con las cosas interesantes. Ahora que solo tiene entradas de registro interesantes para leer, decida cuáles son peligrosas y cuáles inofensivas pero molestas, y corríjalas según corresponda.
Otros consejos
Si tiene el presupuesto, vaya con un Servidor de seguridad de aplicación web (WAF). Estos están diseñados específicamente para reconocer y bloquear ataques de capa de aplicación. También hay algunos WAF baratos, incluso uno de fuente abierta o dos.
Sin embargo, tenga en cuenta que aún debe practicar la codificación segura, etc .; un WAF es excelente para la defensa en profundidad y para el parcheo virtual temporal.
Por lo general escribo mi propio analizador de registro, que intenta seguir los eventos que generalmente ocurren cuando la navegación se realiza por medio de seres humanos NO . Me gusta:
Acceso directo a páginas con URL o parámetros desconocidos
Formularios de comentarios cargados, compilados y publicados en menos de, por ejemplo, 10 segundos.
Secuencias de referencia erróneas
HTML o " crítico " secuencias de caracteres en campos publicados
Y así sucesivamente ...
Primero tiene que decir qué es o no es un exploit potencial, a veces una URL puede ser una solicitud válida y otras puede ser un ataque XSS. Una gran cantidad de tráfico puede ser un DDoS o puede ser el resultado de haber sido mencionado en un artículo de slashdot.
A continuación, puede ver los registros de varios tipos de ataques, como DDoS, que querrá verificar mediante el uso de herramientas IP (ya que muchos ataques DDoS se realizan en puertos que no son web, como las inundaciones SYN).
Luego, quieres instalar mod_security y configurar algunas reglas para ello (puedes encontrar muchos conjuntos de reglas predefinidas en la web). Esto lee la solicitud y la analiza en busca de ataques comunes o conocidos (como las URL que contienen texto de tipo sql o html).
Más red en su conjunto, pero SATAN es muy bueno
http://www.porcupine.org/satan/
SATAN es una herramienta para ayudar a los administradores de sistemas. Reconoce varios problemas comunes de seguridad relacionados con la red e informa de los problemas sin explotarlos realmente.
