웹 애플리케이션 공격을 탐지하는 가장 좋은 방법은 무엇입니까?

Question

내 웹 앱의 서비스 거부 또는 악용과 같은 나쁜 사용자 행동이나 공격을 조사하고 감지하는 가장 좋은 방법은 무엇입니까?

나는 서버의 통계를 알고 있습니다(예: Awstats)는 특히 3XX, 4XX 및 5XX 오류(여기 Awstats 예시 페이지가 있습니다.) 이는 잘 알려진 잘못되었거나 형식이 잘못된 URL을 시도하는 봇이거나 악의적인 의도를 가진 사용자인 경우가 많습니다.

그러한 종류의 공격을 잠정적으로 분석하고 탐지하는 다른 (또는 더 나은) 방법이 있습니까?

메모 :나는 서버 구성 요소(예: 데이터베이스 또는 TCP/IP)에 대한 공격이 아닌 URL 기반 공격에 대해 이야기하고 있습니다.

Answer 1

모든 것을 기록하십시오. 그런 다음 직접 통나무를 검사하고 흥미롭지 않은 것을 찾아서 로그 항목을 버리는 구식을 작성하십시오. 일단 그렇게 한 후에는 흥미로운 것들 만 남을 때까지 헹구고 반복하십시오. 읽을 흥미로운 로그 항목 만 가지고 있으므로 어떤 것이 위험한 지, 어떤 것이 무해하지만 성가신 지 결정하고 적절하게 고치십시오.

Answer 2

예산이 있으면 웹 애플리케이션 방화벽 (WAF)을 사용하십시오. 이들은 애플리케이션 계층 공격을 인식하고 차단하기 위해 구체적으로 구축되었습니다. 저렴한 wafs, 심지어 오픈 소스 1 ~ 2 개도 있습니다.

그러나 여전히 안전한 코딩 등을 연습해야한다는 점에 유의하십시오. WAF는 깊이있는 방어 및 임시 가상 패치에 적합합니다.

Answer 3

나는 보통 내 자신의 로그 분석기를 작성합니다. 일반적으로 내비게이션이 수행 될 때 발생하는 이벤트를 따르려고합니다. 아니다 인간. 처럼:
URL 또는 매개 변수가없는 페이지에 직접 액세스 할 수 없습니다
로드, 컴파일 및 10 초 미만으로 게시 된 피드백 양식
잘못된 참조기 시퀀스 HTML 또는 게시 된 필드 등의 "중요한"문자 시퀀스 ...

Answer 4

먼저 무엇이 잠재적인 공격인지 아닌지 말해야 합니다. 때로는 URL이 유효한 요청일 수도 있고 때로는 XSS 공격일 수도 있습니다.많은 트래픽이 DDoS일 수도 있고 슬래시닷 기사에 언급된 결과일 수도 있습니다.

다음으로, IP 도구를 사용하여 확인하려는 DDoS와 같은 다양한 유형의 공격에 대한 로그를 볼 수 있습니다. (많은 DDoS 공격이 SYN 플러드와 같이 웹이 아닌 포트에서 이루어지기 때문입니다.)

그런 다음 mod_security를 ​​설치하고 이에 대한 몇 가지 규칙을 설정하려고 합니다(웹에서 사전 정의된 규칙 세트를 많이 찾을 수 있습니다).이는 요청을 읽고 일반적이거나 알려진 공격(예: sql 또는 html 유형 텍스트가 포함된 URL)에 대해 구문 분석합니다.

Answer 5

전체적으로 더 많은 네트워크이지만 사탄은 아주 좋습니다

http://www.porcupine.org/satan/

사탄은 시스템 관리자를 돕는 도구입니다. 몇 가지 일반적인 네트워킹 관련 보안 문제를 인식하고 실제로이를 악용하지 않고 문제를보고합니다.