Qual é a melhor maneira de detectar ataques de aplicações web?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
O que é a melhor maneira de pesquisa e detectar o mau comportamento utilizadores ou ataques como negar de serviços ou exploits em meu aplicativo web?
Eu sei que as estatísticas de servidor (como Awstats ) são muito útil para esse tipo de propósito, especialmente para ver erros 3XX, 4XX e 5xx ( aqui está uma página de exemplo Awstats ), que são muitas vezes bots ou maus utilizadores intencionados que tentam mal conhecido ou URLs mal formados.
Há outros (e superiores) maneiras de analisar e detectar esse tipo de tentativa de ataque?
Nota:. Eu estou falando sobre os ataques de URL com base, não ataques a componente do servidor (como o banco de dados ou TCP / IP)
Solução
Log tudo. Em seguida, examinar os logs de lado, e encontrar coisas que são desinteressantes e escrever um analisador que descarta as entradas de log. Uma vez feito isso, enxaguar e repetir até que você é deixado com apenas as coisas interessantes. Agora que você tem entradas de log só é interessante para ler, decidir quais são perigosos e quais são inofensivos, mas irritante, e correção conforme o caso.
Outras dicas
Se você tiver o orçamento, ir com um Application Firewall Web (WAF). Estes são construídos especificamente para reconhecer e bloquear ataques de camada de aplicação. Existem também alguns WAFs baratos, mesmo um open-source ou dois.
Note, porém, que você ainda deve praticar garantir codificação etc; um WAF é excelente para defesa em profundidade, e patching virtual temporário.
Eu costumo escrever meu próprio analisador de log, que tenta seguir os eventos que geralmente acontece quando a navegação é feita por shomething não seres humanos. Como:
acesso direto a páginas com URL ou parâmetros desconhecido
formulários de feedback carregado, compilado e publicado em menos de, digamos, 10 segundos
sequências de referenciador erradas
HTML ou sequências de caracteres "críticos" em campos postadas
E assim por diante ...
Primeiro você tem que dizer o que é ou não um potencial a explorar, por vezes, uma URL pode ser um pedido válido e às vezes pode ser um ataque XSS. Uma grande quantidade de tráfego pode ser um DDoS ou pode ser resultado de ter sido mencionado em um artigo slashdot.
Em seguida, você pode ver os logs para vários tipos de ataque - como DDoS, que você vai querer verificar o uso de ferramentas IP (como um monte de ataques DDoS são feitas em portas não-web, tais como SYN floods).
Em seguida, você deseja instalar mod_security e estabelecer algumas regras para isso (você pode encontrar um monte de conjuntos de regras pré-definidas na web). Este lê o pedido e analisa-lo para comum ou ataques conhecidos (como URLs que contenham SQL ou tipo html texto).
Mais de rede como um todo, mas Satanás é muito bom
http://www.porcupine.org/satan/
SATANÁS é uma ferramenta para ajudar os administradores de sistemas. Ele reconhece vários problemas de segurança comuns de redes relacionadas, e relata os problemas sem realmente explorá-los.
