Как лучше всего обнаружить атаки на веб-приложения?
https://stackoverflow.com/questions/138432
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Как лучше всего исследовать и обнаруживать плохое поведение пользователей или атаки, такие как отказ в обслуживании или эксплойты в моем веб-приложении?
Я знаю статистику сервера (например, Австатс) очень полезны для таких целей, особенно для просмотра ошибок 3XX, 4XX и 5XX (вот пример страницы Awstats), которые часто являются ботами или пользователями с плохими намерениями, которые пробуют известные плохие или неправильно сформированные URL-адреса.
Есть ли другие (и лучшие) способы предварительного анализа и обнаружения такого рода атак?
Примечание :Я говорю об атаках на основе URL-адресов, а не об атаках на компонент сервера (например, базу данных или TCP/IP).
Решение
Зарегистрируйте все.Затем просмотрите журналы вручную, найдите неинтересные вещи и напишите анализатор, который отбрасывает эти записи журнала.Как только вы это сделаете, промойте и повторяйте, пока не останется только интересное.Теперь, когда у вас есть только интересные записи журнала для чтения, решите, какие из них опасны, а какие безвредны, но раздражают, и исправьте их соответствующим образом.
Другие советы
Если у вас есть бюджет, используйте брандмауэр веб-приложений (WAF).Они созданы специально для распознавания и блокирования атак на уровне приложений.Есть также несколько дешевых WAF, даже один или два с открытым исходным кодом.
Однако обратите внимание, что вам все равно следует практиковать безопасное кодирование и т. д.;WAF отлично подходит для глубокоэшелонированной защиты и временного виртуального исправления.
Обычно я пишу свой собственный анализатор журналов, который пытается отслеживать события, которые обычно происходят, когда навигация осуществляется с помощью чего-то. НЕТ люди.Нравиться:
Прямой доступ к страницам с неизвестным URL-адресом или параметрами.
Формы обратной связи загружаются, компилируются и публикуются менее чем за 10 секунд.
Неправильные последовательности реферателей HTML или «критические» последовательности символов в опубликованных полях и так далее ...
Сначала вы должны сказать, что является потенциальным эксплойтом, а что нет. Иногда URL-адрес может быть действительным запросом, а иногда это может быть XSS-атака.Большой объем трафика может быть результатом DDoS-атак или же результатом упоминания в статье на slashdot.
Далее вы можете просмотреть журналы различных типов атак, например DDoS, которые вам нужно будет проверить с помощью IP-инструментов (поскольку многие DDoS-атаки совершаются на не-веб-порты, например, SYN-флуд).
Затем вы хотите установить mod_security и настроить для него некоторые правила (в Интернете можно найти множество предопределенных наборов правил).При этом запрос считывается и анализируется на предмет распространенных или известных атак (например, URL-адресов, содержащих текст типа sql или html).
В целом сеть больше, но SATAN очень хорош.
http://www.porcupine.org/satan/
SATAN — это инструмент в помощь системным администраторам.Он распознает несколько распространенных проблем безопасности, связанных с сетью, и сообщает о них, фактически не используя их.
