自分のサイトに対する潜在的な脅威を監視するにはどうすればよいですか?

Question

私たちのものを見ることで、 DB's エラー ログを確認すると、SQL インジェクション攻撃がほぼ成功し続けていることがわかりました。いくつかの簡単なコーディングでそれを回避できましたが、これをチェックするために DB サーバーと Web サーバー (POST リクエストを含む) の両方にモニターをセットアップするにはどうすればよいでしょうか?つまり、スクリプト好き向けの既製ツールがあるとしたら、あなたのサイトに対する突然のランダムな関心を警告してくれる既製ツールはあるでしょうか?

Answer 1

面白いことに、スコット・ハンセルマンは URLScan に投稿する これは、潜在的な脅威を監視し、最小限に抑えるためにできることの 1 つです。なかなか興味深い読み物です。

Answer 2

URLスキャン iis6 と 7 には良いオプションのように思えます。次のことも見つけました。 ドットディフェンダー Apache または IIS 5 ～ 7 もカバーする有料のサービスを見つけました。 SQL インジェクションのサニテーション ISAPI

また、Web アプリの DB ユーザー アカウントによるシステム テーブル (MS SQL Server では sysobjects と syscolumns) のクエリを禁止することが良いアイデアであるという、最近広く普及している SQL インジェクションの試みを考慮すると、これは注目に値します。

このスレッドには、Apache やその他の Web サーバー用の無料ソリューションがもっと必要だと思います。

残念ながら、侵入検知は私が念頭に置いていたものではなかったので、その仕組みを理解していない限り、sgfree は正確には Web サイト攻撃モニターではありません。

Answer 3

アプリのコードに戻って変更できる場合は、log4j/log4net をアプリケーションに統合することをお勧めします。そこから、フォーム フィールドまたは URL (たとえば、.NET アプリの global.asax レベル) をチェックし、悪意のあるコードが検出されたときにログ エントリを作成するコードを作成できます。

log4j/log4net の優れた点は、電子メール/ポケベル/SMS タイプのアペンダーを構成できるため、悪意のある試みが捕らえられるとすぐに通知されることです。

現在、log4net コードを自社の CMS システムにマージしているところです。ASPROx 攻撃が大量に押し寄せていることを考慮して、これを実行しようと考えています。

Answer 4

Web および DB のアクセス ログを監視すると、このようなことについて警告が表示されますが、より完全な機能を備えた警告システムが必要な場合は、ある種の IDS/IPS をお勧めします。ただし、予備のマシンと、ポートミラーリングを実行できるスイッチが必要です。これらをお持ちの場合、IDS は、多数の侵入試行 (多数あります) をトラフィックを監視する安価な方法です。Snort (www.snort.org) ベースの IDS は優れており、完全にパッケージ化された無料のバージョンがいくつかあります。私が使用したのは StrataGuard です (http://sgfree.stillsecure.com/)、IDS (侵入検知システム) または IPS (侵入防御システム) として構成できます。トラフィックが5Mbpsを超えない場合は無料で使用できます。IDS/IPS を使用する場合は、攻撃を防ぐ前に、1 か月ほど単純な IDS として実行することをお勧めします。

これはやりすぎかもしれませんが、予備のマシンが手元にある場合は、IDS をパッシブに実行しても問題はありません。

Answer 5

エラー メッセージをキックアウトするようにシステムを設定し、その後、監視、レポート (ログ)、SMS/電子メール、電話などのあらゆる種類のアラートを送信するシステムに対して JSON または http 呼び出しを行うことができます。

チェックしてください。developer.alertcaster.com

特に、複数の同時イベントを監視する必要がある場合 (それが発生しているように見える場合)、これは良い解決策になる可能性があります。