Registrazione del corpo POST?

1

Comprendo che la maggior parte dei server Web e delle app Web non conserva il corpo delle richieste POST HTTP nei propri registri. Il motivo è che presumo le dimensioni potenzialmente grandi dei corpi e le informazioni potenzialmente sensibili che potrebbero contenere (password, numeri di carte di credito ...).

Tuttavia, nel caso in cui un server venga compromesso, i corpi delle richieste POST potrebbero contenere dati preziosi che potrebbero aiutare a individuare la vulnerabilità che è stata utilizzata per compromettere il server.

Esistono buone pratiche per la registrazione degli organismi POST o è davvero deciso caso per caso?

    
posta pineappleman 12.12.2016 - 13:27
fonte

3 risposte

2

Puoi valutarlo solo caso per caso. Come dici tu, i costi generali sono piuttosto grandi e potresti avere difficoltà a far sì che tale registrazione sia sufficientemente scalabile.

È meglio discuterne con chi gestisce il lato web delle cose in quanto potrebbero esserci altre registrazioni come i registri delle transazioni del database che fornirebbero informazioni simili senza aggiungere ulteriori spese generali.

    
risposta data 12.12.2016 - 16:58
fonte
0

potentially large size of the bodies

Con spazio su disco inferiore a 3cents (Stati Uniti) / Gigabyte è improbabile che sia una preoccupazione per la maggior parte delle persone (o $ 14 / giorno per un T3 saturo).

Questa informazione è tremendamente preziosa per il supporto (cosa che succederà regolarmente) e per analisi forense (cosa che non succederà molto spesso). Sì, espone un grande rischio di sicurezza - ma non possiamo né stimare il livello di rischio né il valore delle attività che potrebbero essere esposte. Ma nota che per realizzare il valore hai bisogno di strumenti per estrarre i dati rilevanti (e gli organismi per fare l'analisi).

Ci sono modi per mitigare il rischio - in pratica non conservare i dati sul server - esportarlo immediatamente in un server meno esposto, crittografarlo dove è stato memorizzato e, se possibile, filtrare prima i token di autenticazione.

    
risposta data 12.12.2016 - 17:39
fonte
0

È corretto che un'applicazione ad alto traffico finisca presto per sommergere un sistema di gestione della registrazione se si tenta di salvare tutte le richieste POST. Ad esempio, in un ruolo precedente, abbiamo costantemente superato i limiti delle nostre licenze Splunk. Il salvataggio di tutte le richieste POST sarebbe stato impossibile a causa di quei limiti.

La soluzione è di scaricare le richieste POST in una soluzione di big data come Hadoop che può sfruttare le basse percentuali basse che @symcbean cita.

Sembra che tu voglia davvero catturare l'intera richiesta POST. Se questo requisito è flessibile, considera di analizzare ciò che ti serve da quelle richieste di post e mantienilo sempre. Ad esempio, potresti non aver bisogno di ogni byte di un caricamento di file. Per evitare di raccogliere informazioni riservate, è possibile configurare il registratore in modo diverso per evitare di raccogliere password, ID di sessione e numeri di carta di credito

    
risposta data 12.12.2016 - 18:24
fonte

Leggi altre domande sui tag