Tôi nên theo dõi các mối đe dọa tiềm năng đến trang web của mình như thế nào?

Question

Bằng cách xem nhật ký lỗi DB's của chúng tôi, chúng tôi thấy rằng có một luồng liên tục các cuộc tấn công SQL injection gần như thành công. Một số mã hóa nhanh chóng tránh được điều đó, nhưng làm thế nào tôi có thể thiết lập một màn hình cho cả DB và máy chủ Web (bao gồm cả các yêu cầu POST) để kiểm tra điều này? Bằng cách này, tôi có nghĩa là nếu có những công cụ kệ cho kiddies script, là có tắt các công cụ kệ mà sẽ cảnh báo bạn quan tâm ngẫu nhiên ngẫu nhiên của họ trong trang web của bạn?

Answer 1

Funnily đủ, Scott Hanselman đã có một post on UrlScan hôm nay là một điều bạn có thể làm để giúp theo dõi và giảm thiểu các mối đe dọa tiềm ẩn. Đó là một đọc khá thú vị.

Answer 2

Theo dõi nhật ký truy cập web và DB sẽ cảnh báo bạn về những việc như thế này, nhưng nếu bạn muốn có hệ thống cảnh báo đầy đủ hơn, tôi sẽ đề xuất một số loại IDS/IPS. Tuy nhiên, bạn sẽ cần một máy dự phòng và một công tắc có thể thực hiện phản chiếu cổng. Nếu bạn có những IDS đó thì một IDS là một cách rẻ tiền để theo dõi lưu lượng truy cập của bạn cho nhiều lần xâm nhập (sẽ có rất nhiều). Snort (www.snort.org) dựa trên IDS là tuyệt vời, và có một số phiên bản đóng gói hoàn toàn miễn phí có sẵn. Một trong những tôi đã sử dụng là StrataGuard (http://sgfree.stillsecure.com/), và nó có thể được cấu hình như một IDS (Intrusion Detection System) hoặc như một IPS (Intrusion Prevention System). Miễn phí sử dụng nếu lưu lượng truy cập của bạn không vượt quá 5Mbps. Nếu bạn đi với IDS/IPS, tôi khuyên bạn nên để nó chạy như một IDS đơn giản trong một tháng hoặc lâu hơn, trước khi bạn cho phép nó ngăn chặn các cuộc tấn công.

Điều này có thể là quá mức cần thiết, nhưng nếu bạn có một máy dự phòng nằm xung quanh nó không thể làm tổn thương để IDS chạy thụ động.

Answer 3

UrlScan dường như là một lựa chọn tốt cho iis6 và 7; Tôi cũng tìm thấy: dotDefender cho khoản thanh toán cũng bao gồm Apache hoặc IIS 5-7 và tôi đã tìm thấy một số SQL Injection sanitation ISAPI

Điều này cũng đáng chú ý trong một nỗ lực SQL Injection lan rộng gần đây. truy vấn các bảng hệ thống (trong MS SQL Server là sysobjects và syscolumns) là một ý tưởng hay.

Tôi nghĩ rằng chuỗi này đảm bảo các giải pháp miễn phí hơn cho Apache và các máy chủ web khác.

Thật không may là phát hiện xâm nhập không phải là những gì tôi nghĩ, vì vậy sgfree không chính xác là màn hình tấn công trang web, trừ khi tôi không hiểu cách hoạt động của nó.

Answer 4

Nếu bạn có thể quay lại và sửa đổi mã ứng dụng của mình, tôi khuyên bạn nên tích hợp log4j/log4net vào ứng dụng. Từ đó bạn có thể viết mã để kiểm tra trường hoặc URL biểu mẫu (nói ở cấp global.asax cho ứng dụng .NET) và tạo mục nhập nhật ký khi phát hiện mã độc hại.

Điều tuyệt vời về log4j/log4net là bạn có thể định cấu hình ứng dụng e-mail/máy nhắn tin/SMS để ngay sau khi bắt được lần tấn công độc hại, bạn sẽ được thông báo.

Tôi đang trong quá trình hợp nhất một số mã log4net vào hệ thống CMS của chúng tôi và chúng tôi đang tìm cách thực hiện điều này dưới ánh sáng của các cuộc tấn công ASPRox đang đến.

Answer 5

Bạn có thể thiết lập hệ thống để khởi động một số thông báo lỗi sau đó thực hiện cuộc gọi JSON hoặc http đến hệ thống sẽ theo dõi, báo cáo (nhật ký) và gửi bất kỳ loại cảnh báo nào như SMS/email hoặc điện thoại gọi điện.

Kiểm tra developer.alertcaster.com

Đặc biệt nếu bạn cần theo dõi nhiều sự kiện đồng thời, có vẻ như bạn đang diễn ra, đây có thể là một giải pháp tốt.