Domanda su informazioni recuperate da sistemi che potrebbero potenzialmente portare a exploit

3

Di solito si consiglia, quando si vuole proteggere un'applicazione, di "fornire" come poche informazioni, o meglio ancora, nessuna informazione a utenti non autorizzati (possibilmente malevoli). Sto pensando a informazioni come OS, versione dell'app, ecc.

La mia domanda è la seguente:
Ho un'applicazione web che consente l'accesso solo da specifici IP, il resto del mondo riceve una risposta Proibita HTTP. Mi stavo chiedendo, nel contesto della sicurezza di cui sopra, c'è qualcosa di sbagliato? Voglio dire, suppongo che un intruso possa sapere che un server HTTP è in esecuzione ma non sarebbe in grado di accedervi.

C'è un problema di sicurezza a causa di questo? Potrebbe essere migliorato in qualche modo?
UPDATE:
Sto anche utilizzando l'autenticazione tramite nome utente e password ma se l'IP di origine non è nella lista consentita non viene visualizzata la pagina di richiesta di nome utente / password. Appena proibito

    
posta Jim 08.07.2011 - 23:31
fonte

4 risposte

5

Se il tuo server web serve solo IP specifici, è probabilmente un'idea migliore autorizzare solo quegli IP nel tuo firewall.

    
risposta data 09.07.2011 - 00:34
fonte
5

is there anything wrong?

Dipende dalle risposte HTTP fornite alle richieste HTTP. Penso che stai restituendo 403 Proibito, ma lo stai restituendo in risposta a tutte le richieste?

OTTIENI, TESTA, PUT, POST, CANCELLA, TRACCIA, COLLEGA, OPZIONI

Prova a inviare tutte queste richieste da un indirizzo IP non autorizzato e vedere quali risposte ottieni. Se una richiesta restituisce 401 Non autorizzato, l'utente malintenzionato può capire che si sta facendo il filtraggio degli indirizzi IP.

an intruder would know that an HTTP server is running but would not be able to access it. Is there a security issue because of this?

Non direttamente no. In generale, nascondere la tua esistenza non è una protezione di sicurezza. Nascondere la tua esistenza è un tentativo di impedire di essere preso di mira. Anche se essere preso di mira da un aggressore è un problema di sicurezza, molti professionisti della sicurezza credono che sia meglio concentrarsi sul problema di come difendersi da un attacco, invece di come impedire che si verifichi un attacco.

Credo che se sei un potenziale bersaglio (e quale server web non lo è?) è solo una questione di tempo prima che tu venga attaccato. Non se, ma quando. Poiché credo che sarai attaccato, penso che lo sforzo sia meglio spendere per preparare una difesa. In effetti, il tentativo di rimanere invisibili potrebbe darti un falso senso di sicurezza e impedirti di spendere sforzi per cose importanti come patch e aggiornamenti. Dopotutto, se nessuno sa che esisto, sono sicuro, vero?

    
risposta data 09.07.2011 - 08:55
fonte
1

Per casi specifici, potrebbe funzionare come una buona opzione per avere questo approccio pessimistico, ma altre volte, questo non funzionerebbe come pianificato.

  1. L'utente malintenzionato può falsificare il suo indirizzo IP tra la "lista di indirizzi IP consentiti" e dalla sua "definizione" gli sarà concesso l'accesso completo ai suoi servizi.

  2. L'attaccante può usare vari altri mezzi per far cadere i tuoi servizi. Se ci sono numeri di banner o di versione rivelati nella risposta proibita "HTTP", l'utente malintenzionato cerca solo exploit noti per tali versioni e può provare direttamente un exploit.

  3. Nessun attaccante può far cadere la tua applicazione web in un solo tentativo. L'utente malintenzionato dovrà eseguire una scansione di "ricognizione", "impronta digitale" e vulnerabilità per identificare potenziali punti deboli. Consentendo un certo livello di accesso agli estranei, è possibile monitorare tali eventi e utilizzare tali dati per rafforzare la sicurezza. Questo periodo di apprendimento potrebbe essere estremamente utile per prevenire futuri attacchi.

risposta data 08.07.2011 - 23:55
fonte
0

Potresti essere subdolo e offrire contenuti diversi ai client "approvati" e "non approvati".

Vedere link

Gli ip non approvati potrebbero essere serviti come un honeytrap o solo un mockup "Com'è per il nostro nuovo frontpage?" con le immagini di lorem ipsum e placeholde.it.

Porte blindate e grossi lucchetti potrebbero spaventare un po ', ma i 401/403 ei "Trespassers saranno sparati" -gli stemmi potrebbero solo stuzzicare alcuni di provare.

Solo pubblicare contenuti dall'aspetto innocente e "404 non trovato" ingannare molti script kiddies e non fornirà ulteriori informazioni all'hacker determinato.

    
risposta data 30.06.2016 - 08:43
fonte

Leggi altre domande sui tag