Que faire à propos de ScanAlert ?
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Un de mes clients utilise McAfee ScanAlert (c'est-à-dire HackerSafe).En gros, il arrive sur le site avec environ 1 500 mauvaises requêtes par jour à la recherche de failles de sécurité.Puisqu'il démontre un comportement malveillant, il est tentant de le bloquer après quelques mauvaises requêtes, mais je devrais peut-être le laisser exercer l'interface utilisateur.Est-ce un vrai test si je ne le laisse pas finir ?
La solution
N'est-ce pas une faille de sécurité du site que de laisser les hackers lancer tout leur arsenal contre le site ?
Eh bien, vous devriez vous concentrer sur la fermeture des trous, plutôt que d’essayer de contrecarrer les scanners (ce qui est une bataille futile).Pensez à effectuer de tels tests vous-même.
Autres conseils
C'est bien de bloquer les mauvaises requêtes après quelques essais, mais vous devriez les laisser continuer.Si vous le bloquez après 5 mauvaises requêtes vous ne saurez pas si la 6ème requête ne fera pas planter votre site.
MODIFIER:Je voulais dire qu'un attaquant pourrait envoyer une seule requête, mais similaire à l'une de ces 1495 que vous n'avez pas testées parce que vous avez bloqué., et cette seule requête pourrait faire planter votre site.
La prévention des failles de sécurité nécessite différentes stratégies pour différentes attaques.Par exemple, il ne serait pas inhabituel de bloquer le trafic provenant de certaines sources lors d’une attaque par déni de service.Si un utilisateur ne parvient pas à fournir les informations d'identification appropriées plus de 3 fois, l'adresse IP est bloquée ou le compte est verrouillé.
Lorsque ScanAlert émet des centaines de requêtes pouvant inclure une injection SQL, pour n'en nommer qu'une, cela correspond certainement à ce que le code du site devrait considérer comme un « comportement malveillant ».
En fait, le simple fait de mettre en place UrlScan ou eEye SecureIIS peut refuser de nombreuses demandes de ce type, mais s'agit-il d'un véritable test du code du site.C'est le travail du code du site de détecter les utilisateurs/demandes malveillants et de les refuser.À quelle couche le test est-il valide ?
ScanAlert se présente de deux manières différentes :le nombre de demandes mal formées et la variété de chaque demande individuelle à titre de test.Il semble que les 2 conseils qui ressortent soient les suivants :
- Le code du site ne doit pas tenter de détecter le trafic malveillant provenant d’une source particulière et de bloquer ce trafic, car cela constitue un effort inutile.
- Si vous tentez un effort aussi futile, faites au moins une exception pour les demandes de ScanAlert afin de tester les couches inférieures.
Si cela ne nuit pas aux performances du site, je pense que c'est une bonne chose.Si vous aviez 1 000 clients sur le même site qui faisaient tous cela, oui, bloquez-le.
Mais si le site a été construit pour ce client, je pense que c'est assez juste qu'ils le fassent.
