O que fazer com o ScanAlert?
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Um dos meus clientes usa o McAfee ScanAlert (ou seja, HackerSafe).Basicamente, ele atinge o site com cerca de 1.500 solicitações incorretas por dia em busca de falhas de segurança.Como demonstra comportamento malicioso, é tentador bloqueá-lo após algumas solicitações incorretas, mas talvez eu deva deixá-lo exercitar a interface do usuário.É um verdadeiro teste se eu não deixar terminar?
Solução
Não é uma falha de segurança do site permitir que hackers joguem tudo de seu arsenal contra o site?
Bem, você deve se concentrar em fechar lacunas, em vez de tentar impedir os scanners (o que é uma batalha inútil).Considere executar esses testes você mesmo.
Outras dicas
É bom que você bloqueie a solicitação incorreta após algumas tentativas, mas você deve deixá-la continuar.Se você bloqueá-lo após 5 solicitações incorretas, não saberá se a 6ª solicitação não travaria seu site.
EDITAR:Eu quis dizer que algum invasor pode enviar apenas uma solicitação, mas semelhante a uma daquelas 1495 que você não testou porque bloqueou., E essa solicitação pode travar seu site.
Prevenir violações de segurança requer estratégias diferentes para ataques diferentes.Por exemplo, não seria incomum bloquear o tráfego de certas fontes durante um ataque de negação de serviço.Se um usuário não fornecer as credenciais adequadas mais de 3 vezes, o endereço IP será bloqueado ou a conta será bloqueada.
Quando o ScanAlert emite centenas de solicitações que podem incluir injeção de SQL – para citar uma – certamente corresponde ao que o código do site deve considerar “comportamento malicioso”.
Na verdade, apenas colocar o UrlScan ou o eEye SecureIIS em funcionamento pode negar muitas dessas solicitações, mas isso é um verdadeiro teste do código do site.É função do código do site detectar usuários/solicitações mal-intencionadas e negá-los.Em que camada o teste é válido?
ScanAlert se apresenta de duas maneiras diferentes:o número de solicitações malformadas e a variedade de cada solicitação individual como teste.Parece que os dois conselhos que surgem são os seguintes:
- O código do site não deve tentar detectar tráfego malicioso de uma fonte específica e bloquear esse tráfego, porque esse é um esforço inútil.
- Se você tentar um esforço tão fútil, pelo menos abra uma exceção para solicitações do ScanAlert para testar as camadas inferiores.
Se não está prejudicando o desempenho do site, acho que é bom.Se você tivesse 1.000 clientes no mesmo site, todos fazendo isso, sim, bloqueie-o.
Mas se o site foi construído para esse cliente, acho justo que eles façam isso.
