•  09-06-2019
  •  | 
  •  

Domanda

Uno dei miei clienti utilizza McAfee ScanAlert (ovvero HackerSafe).Fondamentalmente colpisce il sito con circa 1500 richieste errate al giorno alla ricerca di buchi di sicurezza.Dal momento che dimostra un comportamento dannoso, si è tentati di bloccarlo semplicemente dopo un paio di richieste errate, ma forse dovrei lasciarlo esercitare l'interfaccia utente.È un vero test se non lo lascio finire?

È stato utile?

Soluzione

Non è una falla nella sicurezza del sito lasciare che gli hacker scaglino tutto il loro arsenale contro il sito?

Bene, dovresti concentrarti sulla chiusura dei buchi, piuttosto che cercare di contrastare gli scanner (che è una battaglia inutile).Considera l'idea di eseguire tu stesso tali test.

Altri suggerimenti

È positivo bloccare la richiesta errata dopo un paio di prove, ma dovresti lasciarla continuare.Se lo blocchi dopo 5 richieste errate non saprai se la sesta richiesta non causerà il crash del tuo sito.

MODIFICARE:Intendevo che qualche utente malintenzionato potrebbe inviare solo una richiesta ma simile a una di quelle 1495 che non hai testato perché hai bloccato., e questa richiesta potrebbe mandare in crash il tuo sito.

Prevenire le violazioni della sicurezza richiede strategie diverse per attacchi diversi.Ad esempio, non sarebbe insolito bloccare il traffico proveniente da determinate fonti durante un attacco di negazione del servizio.Se un utente non riesce a fornire le credenziali adeguate più di 3 volte, l'indirizzo IP viene bloccato o l'account viene bloccato.

Quando ScanAlert emette centinaia di richieste che possono includere SQL injection, per citarne una, corrisponde sicuramente a ciò che il codice del sito dovrebbe considerare "comportamento dannoso".

In effetti, il semplice utilizzo di UrlScan o eEye SecureIIS può negare molte di queste richieste, ma si tratta di un vero test del codice del sito.È compito del codice del sito rilevare utenti/richieste dannosi e negarli.A quale livello è valido il test?

ScanAlert si presenta in due modi diversi:il numero di richieste non corrette e la varietà di ogni singola richiesta come test.Sembra che i 2 consigli che emergono siano i seguenti:

  1. Il codice del sito non dovrebbe tentare di rilevare traffico dannoso proveniente da una particolare origine e bloccarlo, poiché si tratterebbe di uno sforzo inutile.
  2. Se tenti uno sforzo così inutile, fai almeno un'eccezione per le richieste di ScanAlert per testare i livelli inferiori.

Se non danneggia le prestazioni del sito, penso che sia una buona cosa.Se avessi 1000 clienti sullo stesso sito che lo fanno, sì, bloccalo.

Ma se il sito è stato creato per quel cliente, penso che sia abbastanza giusto che lo facciano.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top