Bằng cách xem nhật ký lỗi DB's
của chúng tôi, chúng tôi thấy rằng có một luồng liên tục các cuộc tấn công SQL injection gần như thành công. Một số mã hóa nhanh chóng tránh được điều đó, nhưng làm thế nào tôi có thể thiết lập một màn hình cho cả DB và máy chủ Web (bao gồm cả các yêu cầu POST) để kiểm tra điều này? Bằng cách này, tôi có nghĩa là nếu có những công cụ kệ cho kiddies script, là có tắt các công cụ kệ mà sẽ cảnh báo bạn quan tâm ngẫu nhiên ngẫu nhiên của họ trong trang web của bạn?Tôi nên theo dõi các mối đe dọa tiềm năng đến trang web của mình như thế nào?
Trả lời
Funnily đủ, Scott Hanselman đã có một post on UrlScan hôm nay là một điều bạn có thể làm để giúp theo dõi và giảm thiểu các mối đe dọa tiềm ẩn. Đó là một đọc khá thú vị.
Theo dõi nhật ký truy cập web và DB sẽ cảnh báo bạn về những việc như thế này, nhưng nếu bạn muốn có hệ thống cảnh báo đầy đủ hơn, tôi sẽ đề xuất một số loại IDS/IPS. Tuy nhiên, bạn sẽ cần một máy dự phòng và một công tắc có thể thực hiện phản chiếu cổng. Nếu bạn có những IDS đó thì một IDS là một cách rẻ tiền để theo dõi lưu lượng truy cập của bạn cho nhiều lần xâm nhập (sẽ có rất nhiều). Snort (www.snort.org) dựa trên IDS là tuyệt vời, và có một số phiên bản đóng gói hoàn toàn miễn phí có sẵn. Một trong những tôi đã sử dụng là StrataGuard (http://sgfree.stillsecure.com/), và nó có thể được cấu hình như một IDS (Intrusion Detection System) hoặc như một IPS (Intrusion Prevention System). Miễn phí sử dụng nếu lưu lượng truy cập của bạn không vượt quá 5Mbps. Nếu bạn đi với IDS/IPS, tôi khuyên bạn nên để nó chạy như một IDS đơn giản trong một tháng hoặc lâu hơn, trước khi bạn cho phép nó ngăn chặn các cuộc tấn công.
Điều này có thể là quá mức cần thiết, nhưng nếu bạn có một máy dự phòng nằm xung quanh nó không thể làm tổn thương để IDS chạy thụ động.
UrlScan dường như là một lựa chọn tốt cho iis6 và 7; Tôi cũng tìm thấy: dotDefender cho khoản thanh toán cũng bao gồm Apache hoặc IIS 5-7 và tôi đã tìm thấy một số SQL Injection sanitation ISAPI
Điều này cũng đáng chú ý trong một nỗ lực SQL Injection lan rộng gần đây. truy vấn các bảng hệ thống (trong MS SQL Server là sysobjects và syscolumns) là một ý tưởng hay.
Tôi nghĩ rằng chuỗi này đảm bảo các giải pháp miễn phí hơn cho Apache và các máy chủ web khác.
Thật không may là phát hiện xâm nhập không phải là những gì tôi nghĩ, vì vậy sgfree không chính xác là màn hình tấn công trang web, trừ khi tôi không hiểu cách hoạt động của nó.
Nếu bạn có thể quay lại và sửa đổi mã ứng dụng của mình, tôi khuyên bạn nên tích hợp log4j/log4net vào ứng dụng. Từ đó bạn có thể viết mã để kiểm tra trường hoặc URL biểu mẫu (nói ở cấp global.asax cho ứng dụng .NET) và tạo mục nhập nhật ký khi phát hiện mã độc hại.
Điều tuyệt vời về log4j/log4net là bạn có thể định cấu hình ứng dụng e-mail/máy nhắn tin/SMS để ngay sau khi bắt được lần tấn công độc hại, bạn sẽ được thông báo.
Tôi đang trong quá trình hợp nhất một số mã log4net vào hệ thống CMS của chúng tôi và chúng tôi đang tìm cách thực hiện điều này dưới ánh sáng của các cuộc tấn công ASPRox đang đến.
Bạn có thể thiết lập hệ thống để khởi động một số thông báo lỗi sau đó thực hiện cuộc gọi JSON hoặc http đến hệ thống sẽ theo dõi, báo cáo (nhật ký) và gửi bất kỳ loại cảnh báo nào như SMS/email hoặc điện thoại gọi điện.
Kiểm tra developer.alertcaster.com
Đặc biệt nếu bạn cần theo dõi nhiều sự kiện đồng thời, có vẻ như bạn đang diễn ra, đây có thể là một giải pháp tốt.
- 1. Norton File Insight đánh dấu cài đặt như một mối đe dọa
- 2. Ăn cắp "nhớ tôi" cookie là một mối đe dọa hợp lệ?
- 3. Các trang web như Hubspot theo dõi các liên kết trong nước như thế nào?
- 4. Tôi nên thử nghiệm ứng dụng web của mình như thế nào?
- 5. Tôi có nên loại bỏ các bot truy cập trang web của mình không?
- 6. Tôi nên triển khai ACL của mình như thế nào trong một ứng dụng web?
- 7. Khi nào tôi nên phản hồi các yêu cầu HEAD HTTP trên trang web của mình
- 8. Có sử dụng 'exec' trong điều kiện kiểm soát một mối đe dọa bảo mật không?
- 9. Tôi nên xử lý số lần xem trang phân đoạn theo dõi trong Google Analytics như thế nào?
- 10. Các mối đe dọa có thể xảy ra khi gọi các dịch vụ web bằng cách sử dụng JQuery là gì và làm cách nào để tránh chúng?
- 11. Tôi nhận được cảnh báo JavaScript trong dự án mà tôi không tạo, đe dọa tôi?
- 12. Tôi có nên xây dựng ứng dụng web tiếp theo của mình trong ASP.NET MVC không?
- 13. Tôi nên đặt các tham số ctor của mình cho DI/IOC như thế nào?
- 14. Mô hình đe dọa cho cùng một chính sách gốc là gì?
- 15. Tôi nên lưu trữ các lớp tùy chỉnh của mình như thế nào?
- 16. Tôi nên chuyển mã của mình từ dev sang sản xuất như thế nào?
- 17. Tôi nên tổ chức ứng dụng Flex của mình như thế nào?
- 18. Tôi nên triển khai thành viên người dùng trong trang web MVC ASP.NET như thế nào?
- 19. Tôi nên tổ chức các kho và chi nhánh Git của mình như thế nào để tạo nhiều phiên bản của một trang web?
- 20. Tôi nên tạo một API (web) tốt như thế nào
- 21. Mối quan hệ như người theo dõi Twitter/được theo dõi trong ActiveRecord
- 22. Tôi nên làm xác thực trong trang web ASP.Net MVC như thế nào?
- 23. Theo dõi/theo dõi của HABTM theo dõi/theo dõi
- 24. Tôi nên tổ chức GUI Java của mình như thế nào?
- 25. Tôi có nên sử dụng Google Web Toolkit cho ứng dụng web mới của mình không?
- 26. jQuery theo dõi DOM như thế nào?
- 27. Làm thế nào để bạn theo dõi các mối quan hệ kỷ lục trong NoSQL?
- 28. Tôi nên tổ chức các chủ đề ASP.Net và các tệp CSS phổ biến của mình như thế nào
- 29. Tôi có thể trỏ tên miền của mình đến một trang web Azure không?
- 30. Tôi nên đặt url trang web của mình ở cài đặt django ở đâu?