Rilevazione dei tentativi di attacco a un sito Web?

Naviga le tue risposte
14

Attualmente sto cercando di implementare alcune raccomandazioni da OWASP AppSensor Project e vorrei rispondere al attaccante quando cerca di entrare nel mio sito web.

Esistono risorse che coprono / analizzano i specifici vettori di attacco? Con specifico intendo qualcosa come un elenco di regole: quando l'utente prova a scrivere ' carattere nel campo del nome utente, è sicuramente un tentativo di attacco (che non lo è, ma ' or 'x'=x' probabilmente è).

Il mio obiettivo principale è quello di registrare e rispondere in modo efficace ai tentativi di attacco e di evitare i falsi positivi il più possibile (non dovrebbe mai accadere che il sistema vieti all'utente legale). Stiamo parlando qui probabilmente principalmente di SQL injection , XSS e forse Request threshold (qualcosa come 50 richieste in 1 secondi è sospetto - è davvero?). Se pensi che dovrei rispondere anche a un altro tipo di azione, sentiti libero di suggerirlo e scrivi un motivo per cui dovrei concentrarmi su questo tipo di azione.

    
posta bretik 09.12.2010 - 19:03
fonte

2 risposte

7

Nella maggior parte dei casi è sufficiente un'applicazione web robusta con filtrazione / sanificazione valida. Il problema che stai cercando di risolvere è molto difficile da soddisfare. Ripeto ancora e ancora: non reinventare la ruota, perché ci sono alte probabilità di perdere tempo senza alcun effetto sulla sicurezza. Ad esempio, guarda come viene scritto PHP-IDS, come funziona, quali regole contiene. Inoltre, cosa diresti di queste tecniche di evasione SQL injection: link - come gestirli? O su XSS - link . Come puoi vedere, più attacchi vuoi coprire - più possibilità di ottenere falsi positivi.

Non sto dicendo che sia impossibile e non ne valga la pena, ma più avanti, più chiaro vediamo che gli attacchi diventano sempre più complicati. Per prima cosa controlla se il tuo problema non è stato risolto in precedenza e se vale davvero la pena.

    
risposta data 09.12.2010 - 20:27
fonte
1

Fondamentalmente stai scrivendo un classificatore .

Se vuoi davvero seguire questa strada, dovresti probabilmente controllare filtro antispam bayesiano e Paul Graham's Essay , perché si riferisce alla decisione di quali input sono dannosi (spam) e quali sono utenti validi (ham). La spiegazione di Tim Peter's del metodo di Paul Graham è molto leggibile.

Al momento non conosco IDS di ultima generazione, ma facendo eco ad Ams, probabilmente non vuoi inventare i tuoi ID, a meno che tu non sia davvero interessato ad apprendere quest'area.

    
risposta data 10.12.2010 - 00:02
fonte

Leggi altre domande sui tag

Moduli non pubblicati su npm: un hacker potrebbe trarre vantaggio dalla loro precedente notorietà? Quanto è sicura la mia carta di credito senza contatto?