Sto imparando a scuola su firme di attacco su applicazioni web (fondamentalmente OWASP), ma non capisco cosa siano realmente in questo contesto. Qualcuno può darmi dei buoni riferimenti in cui posso capire meglio cosa sono e dove vengono utilizzati? Grazie!
Le firme di attacco nel contesto del rilevamento delle intrusioni di rete (specialmente in relazione alle applicazioni web) sono euristiche e schemi di dati che possono essere utilizzati per identificare il traffico che costituisce un attacco.
Ad esempio, il pattern regex union\s+select potrebbe essere usato per (anche se molto ingenuamente) rilevare attacchi di SQL injection. Un altro pattern potrebbe essere semplicemente 0x31303235343830303536 , che è un valore che Havij (uno strumento di iniezione SQL) usa nelle sue richieste.
Le firme non devono essere correlate ai dati dell'applicazione. Potrebbero anche essere basati su flag di pacchetto, modelli di traffico (ad esempio molti pacchetti di risposta DNS imprevisti), tentativi di accesso errati, ecc.
Queste firme combinate possono costituire la spina dorsale di un sistema di rilevamento delle intrusioni (IDS), che si basa su questi modelli ed euristica per identificare gli attacchi e avvisare l'amministratore.
Leggi altre domande sui tag web-application detection owasp