Webアプリケーションの攻撃を検出する最良の方法は何ですか?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
悪意のあるユーザーの行動やサービスの拒否やWebアプリの悪用などの攻撃を調査および検出する最良の方法は何ですか?
サーバーの統計情報( Awstats など)は、そのような目的には非常に役立ちます。 3XX、4XX、5XXエラー( Awstatsのサンプルページ)よく知られている不正または不正なURLを試みるボットまたは悪意のあるユーザーです。
この種の攻撃を暫定的に分析および検出する他の(およびより良い)方法はありますか?
注:サーバーコンポーネント(データベースやTCP / IPなど)への攻撃ではなく、URLベースの攻撃について述べています。
解決
すべてをログに記録します。次に、手作業でログを調べ、面白くないものを見つけて、それらのログエントリを破棄するパーサーを作成します。それが済んだら、すすぎを繰り返して、面白いものが残るまで繰り返します。興味深いログエントリのみを読み取れるようになったので、どのログエントリが危険で、どのログエントリが無害で迷惑かを判断し、必要に応じて修正します。
他のヒント
予算がある場合は、Webアプリケーションファイアウォール(WAF)を使用してください。これらは、アプリケーション層の攻撃を認識してブロックするために特別に構築されています。安価なWAFもあり、オープンソースの1つまたは2つもあります。
ただし、安全なコーディングなどを引き続き練習する必要があることに注意してください。 WAFは、多層防御と一時的な仮想パッチ適用に最適です。
私は通常、独自のログアナライザーを作成します。このログアナライザーは、人間が NOT していることによってナビゲーションが行われたときに通常発生するイベントを追跡しようとします。いいね:
URLまたはパラメーターが不明なページへの直接アクセス
たとえば、10秒未満で読み込まれ、コンパイルされ、投稿されたフィードバックフォーム
誤ったリファラーシーケンス
HTMLまたは「クリティカル」投稿フィールドの文字シーケンス
など...
最初に、潜在的なエクスプロイトとは何か、またはそうでないことを言わなければなりません。URLが有効なリクエストである場合と、XSS攻撃である場合があります。多くのトラフィックはDDoSであるか、スラッシュドットの記事で言及された結果である可能性があります。
次に、IPツールを使用して確認するDDoSなど、さまざまなタイプの攻撃のログを表示できます(多くのDDoS攻撃は、SYNフラッドなどの非Webポートに対して行われます)。
次に、mod_securityをインストールして、いくつかのルールを設定します(Webには多くの定義済みルールセットがあります)。これはリクエストを読み取り、一般的な攻撃または既知の攻撃(sqlまたはhtmlタイプのテキストを含むURLなど)について解析します。
全体としてはネットワークは多いが、SATANは非常に優れている
http://www.porcupine.org/satan/
SATANは、システム管理者を支援するツールです。ネットワーク関連の一般的なセキュリティ問題をいくつか認識し、実際に悪用することなく問題を報告します。
