Что делать со ScanAlert?
https://stackoverflow.com/questions/23961
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Один из моих клиентов использует McAfee ScanAlert (то есть HackerSafe).В основном он отправляет на сайт около 1500 ошибочных запросов в день в поисках дыр в безопасности.Поскольку он демонстрирует вредоносное поведение, возникает соблазн просто заблокировать его после пары неудачных запросов, но, возможно, мне следует позволить ему использовать пользовательский интерфейс.Будет ли это настоящим испытанием, если я не дам ему закончиться?
Решение
Разве это не недостаток безопасности сайта, позволяющий хакерам использовать против сайта все, что есть в их арсенале?
Что ж, вам следует сосредоточиться на закрытии дыр, а не пытаться помешать сканерам (что является бесполезной битвой).Подумайте о том, чтобы провести такие тесты самостоятельно.
Другие советы
Хорошо, что вы блокируете неудачный запрос после пары попыток, но вы должны позволить ему продолжаться.Если вы заблокируете его после 5 неудачных запросов, вы не будете знать, не приведет ли 6-й запрос к сбою вашего сайта.
Редактировать:Я имел в виду, что какой-нибудь злоумышленник может отправить только один запрос, но похожий на один из тех 1495, которые вы не тестировали, потому что заблокировали., и этот один запрос может заблокировать ваш сайт.
Предотвращение нарушений безопасности требует разных стратегий для разных атак.Например, не было бы ничего необычного в блокировании трафика из определенных источников во время атаки типа "отказ в обслуживании".Если пользователь не может предоставить надлежащие учетные данные более 3 раз, IP-адрес блокируется или учетная запись блокируется.
Когда ScanAlert выдает сотни запросов, которые могут включать SQL-инъекцию - назовем хотя бы один - это, безусловно, соответствует тому, что код сайта должен считать "вредоносным поведением".
Фактически, простое включение UrlScan или eEye SecureIIS может отклонить многие такие запросы, но является ли это настоящей проверкой кода сайта?Задача кода сайта - обнаруживать вредоносных пользователей / запросы и отклонять их.На каком уровне тест действителен?
ScanAlert представляет информацию двумя различными способами:количество неверно сформированных запросов и разнообразие каждого отдельного запроса в качестве теста.Похоже, что появляются два совета, которые заключаются в следующем:
- Код сайта не должен пытаться обнаруживать вредоносный трафик из определенного источника и блокировать этот трафик, поскольку это бесполезные усилия.
- Если вы все-таки попытаетесь предпринять такие тщетные усилия, по крайней мере, сделайте исключение для запросов из ScanAlert, чтобы протестировать нижние уровни.
Если это не ухудшает производительность сайта, я думаю, это хорошо.Если у вас было 1000 клиентов на одном и том же сайте, которые все это делали, да, заблокируйте это.
Но если сайт был создан для этого клиента, я думаю, будет достаточно справедливо, если они это сделают.
