Recentemente ho implementato il modulo mod_security nel mio server Web Apache. So che le regole OWASP CRS includono tag per categorizzare gli attacchi, ma voglio creare categorie di livello superiore, in particolare per identificare la ricognizione dai log generati.
Detto questo, voglio sapere se la mia comprensione è corretta sui seguenti punti:
- Qualsiasi metodo HTTP non supportato dall'applicazione è un tentativo di scansione / ricognizione. Anche le Anomalie Protocolli / Intestazioni mancanti e i Mi piace rientrano nella stessa categoria.
- Dato che la direttiva Apache
ProxyRequestsè impostata su Off, qualsiasi tentativo di CONNECT si troverà anche in scansione / ricognizione. Non può essere classificato come Abuso Proxy se il server non intrattiene richieste proxy, giusto? - Il metodo OPTIONS, dal mio punto di vista e da quello che dice la specifica, sembra fatto per la scansione dei metodi disponibili. Nmap e altri strumenti del genere sparano alle richieste OPTIONS per scoprire che cosa il server ha da offrire. Ma dovrei mettere tutte le richieste OPTIONS indiscriminatamente sotto i tentativi di scansione?
- Come distinguere le richieste GET legittime da quelle dannose? E malizioso, intendo quelli che sono un precursore di un attacco? Ovviamente posso mettere in relazione tutti i log per trovare i link ma c'è un modo immediato? Dall'agente utente? Cosa succede se il programma utente non può essere identificato?
Mi scuso per aver bombardato tutte le domande contemporaneamente, ma non pensavo che sarebbe stata una buona idea chiederle separatamente. Errore di Rookie, forse.