ScanAlert에 대해 어떻게 해야 합니까?

Question

내 클라이언트 중 하나가 McAfee ScanAlert(예: HackerSafe)를 사용합니다.기본적으로 보안 허점을 찾기 위해 하루에 약 1500건의 잘못된 요청이 사이트에 도착합니다.악의적인 동작을 보여주기 때문에 몇 가지 잘못된 요청 후에는 차단하고 싶은 유혹이 있지만 UI를 실행하도록 해야 할 수도 있습니다.끝내지 않으면 진정한 테스트인가요?

Answer 1

해커가 사이트에 대한 무기고에 모든 것을 던지도록 허용하는 것은 사이트의 보안 결함이 아닙니까?

글쎄요, 스캐너를 방해하려고 하기보다는 구멍을 막는 데 집중해야 합니다(이는 쓸데없는 싸움입니다).이러한 테스트를 직접 실행해 보세요.

Answer 2

몇 번 시도한 후에 잘못된 요청을 차단하는 것은 좋지만 계속해서 허용해야 합니다.5번의 잘못된 요청 후에 이를 차단하면 6번째 요청으로 인해 사이트가 중단되지 않을지 알 수 없습니다.

편집하다:나는 일부 공격자가 하나의 요청만 보낼 수 있지만 차단했기 때문에 테스트하지 않은 1495 중 하나와 유사할 수 있으며 이 요청 하나가 사이트를 충돌시킬 수 있다는 것을 의미했습니다.

Answer 3

보안 위반을 방지하려면 공격마다 다른 전략이 필요합니다.예를 들어 서비스 거부 공격 중에 특정 소스의 트래픽을 차단하는 것은 드문 일이 아닙니다.사용자가 적절한 자격 증명을 3회 이상 제공하지 못하면 IP 주소가 차단되거나 계정이 잠깁니다.

ScanAlert가 SQL 삽입을 포함할 수 있는 수백 건의 요청을 발행하면(예를 들어) 사이트 코드가 "악의적인 행동"으로 간주해야 하는 것과 확실히 일치합니다.

실제로 UrlScan 또는 eEye SecureIIS를 배치하는 것만으로도 그러한 많은 요청을 거부할 수 있지만 이것이 사이트 코드에 대한 진정한 테스트입니다.악의적인 사용자/요청을 감지하고 거부하는 것이 사이트 코드의 역할입니다.테스트는 어떤 계층에서 유효합니까?

ScanAlert는 두 가지 방식으로 표시됩니다.잘못된 요청 수와 각 개별 요청의 다양성을 테스트합니다.나타나는 두 가지 조언은 다음과 같습니다.

1. 사이트 코드는 특정 소스로부터의 악성 트래픽을 탐지하여 해당 트래픽을 차단하려고 해서는 안 됩니다. 왜냐하면 이는 헛된 노력이기 때문입니다.
2. 그러한 헛된 노력을 시도하는 경우 최소한 하위 계층을 테스트하기 위해 ScanAlert의 요청에 대해 예외를 두십시오.

Answer 4

사이트 성능에 지장을 주지 않는다면 좋은 일이라고 생각합니다.동일한 사이트에 1000명의 클라이언트가 모두 그렇게 하고 있다면 차단하세요.

하지만 사이트가 해당 고객을 위해 구축된 것이라면 그렇게 하는 것이 정당하다고 생각합니다.