Quel est le meilleur moyen de détecter les attaques d'applications Web?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quel est le meilleur moyen d’enquêter et de détecter les comportements de mauvais utilisateurs ou des attaques telles que le refus de services ou des exploits sur mon application Web?
Je sais que les statistiques du serveur (telles que Awstats ) sont très utiles à cette fin, notamment à voir Erreurs 3XX, 4XX et 5XX ( voici un exemple d'Awstats ) qui sont souvent des bots ou des utilisateurs mal intentionnés qui essaient des URL mauvaises ou malformées connues.
Existe-t-il d'autres moyens (et de meilleurs) pour analyser et détecter ce type d'attaque provisoire?
Remarque: je parle d'attaques basées sur des URL, pas d'attaques sur des composants du serveur (tels que la base de données ou TCP / IP).
La solution
Tout enregistrer. Examinez ensuite les journaux à la main, recherchez des éléments sans intérêt et écrivez un analyseur qui écarte ces entrées de journal. Une fois que vous avez fait cela, rincez et répétez jusqu'à ce qu'il ne vous reste que les choses intéressantes. Maintenant que vous n'avez plus que des entrées de journal intéressantes à lire, déterminez celles qui sont dangereuses et celles qui sont inoffensives mais ennuyeuses et corrigez-les au besoin.
Autres conseils
Si vous avez le budget, utilisez un pare-feu d'applications Web (WAF). Celles-ci sont spécialement conçues pour reconnaître et bloquer les attaques de la couche application. Il existe également des WAF bon marché, même un ou deux logiciels libres.
Notez toutefois que vous devez toujours vous exercer à utiliser le codage sécurisé, etc. un WAF est idéal pour la défense en profondeur et le patching virtuel temporaire.
J'écris habituellement mon propre analyseur de journaux, qui tente de suivre les événements qui se produisent généralement lorsque la navigation est effectuée par des humains PAS . J'aime:
Accès direct aux pages avec une URL ou des paramètres inconnus
Formulaires de commentaires chargés, compilés et postés en moins de, disons, 10 secondes
Mauvaises séquences de référents
HTML ou "critique" séquences de caractères dans les champs postés
Et ainsi de suite ...
Tout d'abord, vous devez dire ce qui est ou ne pas être un exploit potentiel. Parfois, une URL peut être une requête valide et parfois une attaque XSS. Une grande partie du trafic peut être un DDoS ou le résultat d’une mention sur un article de slashdot.
Ensuite, vous pouvez afficher les journaux de différents types d’attaque, tels que DDoS, que vous voudrez vérifier à l’aide d’outils IP (de nombreuses attaques DDoS étant effectuées sur des ports non Web, tels que les inondations SYN).
Ensuite, vous voulez installer mod_security et y définir des règles (vous pouvez trouver beaucoup de jeux de règles prédéfinis sur le Web). Ceci lit la requête et l’analyse des attaques courantes ou connues (telles que les URL contenant du texte de type SQL ou HTML).
Plus de réseau dans son ensemble, mais SATAN est très bon
http://www.porcupine.org/satan/
SATAN est un outil destiné à aider les administrateurs système. Il reconnaît plusieurs problèmes de sécurité liés au réseau courants et les signale sans les exploiter réellement.
