Qual è il modo migliore per rilevare gli attacchi alle applicazioni Web?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qual è il modo migliore per rilevare e rilevare comportamenti o utenti malintenzionati come la negazione di servizi o exploit sulla mia app Web?
So che le statistiche del server (come Awstats ) sono molto utili per quel tipo di scopo, specialmente per vedere Errori 3XX, 4XX e 5XX ( ecco una pagina di esempio di Awstats ) che sono spesso bot o utenti con cattive intenzioni che provano noti URL non validi o non validi.
Esistono altri modi (e migliori) per analizzare e rilevare questo tipo di tentativo di attacco?
Nota: sto parlando di attacchi basati su URL, non di attacchi al componente del server (come database o TCP / IP).
Soluzione
Registra tutto. Quindi esaminare i registri a mano e trovare le cose che non sono interessanti e scrivere un parser che scarti quelle voci di registro. Dopo averlo fatto, risciacqua e ripeti finché non ti rimangono solo le cose interessanti. Ora che hai solo voci di log interessanti da leggere, decidi quali sono pericolose e quali sono innocue ma fastidiose e correggi in modo appropriato.
Altri suggerimenti
Se disponi del budget, scegli un Web Application Firewall (WAF). Questi sono creati appositamente per riconoscere e bloccare gli attacchi a livello di applicazione. Ci sono anche alcuni WAF economici, anche uno o due open source.
Nota tuttavia che dovresti comunque esercitarti nella codifica sicura ecc; un WAF è ottimo per la difesa in profondità e il patching virtuale temporaneo.
Di solito scrivo il mio analizzatore di log, che cerca di seguire gli eventi che di solito si verificano quando la navigazione viene effettuata shomething NOT umani. Mi piace:
Accesso diretto alle pagine con URL o parametri sconosciuti
Moduli di feedback caricati, compilati e pubblicati in meno di, diciamo, 10 secondi
Sequenze di referrer errate
HTML o "quot" critico " sequenze di caratteri nei campi pubblicati
E così via ...
Per prima cosa devi dire cosa è o non è un potenziale exploit, a volte un URL può essere una richiesta valida e a volte può essere un attacco XSS. Un sacco di traffico può essere un DDoS o può essere il risultato della menzione in un articolo di slashdot.
Successivamente, è possibile visualizzare i registri per vari tipi di attacco, come DDoS, che si desidera verificare utilizzando gli strumenti IP (poiché molti attacchi DDoS vengono eseguiti su porte non Web, come inondazioni SYN).
Quindi vuoi installare mod_security e impostare alcune regole per esso (puoi trovare molti set di regole predefiniti sul web). Questo legge la richiesta e la analizza per attacchi comuni o noti (come URL che contengono testo di tipo sql o html).
Più rete nel suo complesso ma SATANA è molto buona
http://www.porcupine.org/satan/
SATAN è uno strumento per aiutare gli amministratori di sistema. Riconosce diversi problemi di sicurezza correlati alla rete comuni e li segnala senza sfruttarli effettivamente.
