我想問一下我們之間的主動性(或偏執性):你在找什麼,以及如何?檢測Web應用程序中的可疑行爲 - 要查找什麼?
我想的主要是可以以編程方式觀看的事情,而不是手動檢查日誌。
例如:
只是想知道大多數人會考慮實用和有效。
預防性的東西(如用戶輸入的衛生)當然是至關重要的,但在這個問題的情況下,我更感興趣的是檢測潛在的威脅。在這種情況下,我對盜竊警報感興趣,而不是鎖。
我在談論的這種事情的一個例子存在於這裏。如果您在短時間內對某個問題進行了太多修改,它會提供驗證碼以確保您不是機器人。你
三分:
Remeber它,記住它好。
在將其發送到Web應用程序之前查找惡意http請求的應用程序稱爲Web Application Firewall。大多數WAF可以配置爲在檢測到攻擊時發送電子郵件,因此您有「防盜報警」。在攻擊到達你的網絡應用程序之前,WAF對防止攻擊更有用,它更像是一堵磚牆,當你觸摸它時會感到憤怒。
謝謝,但我的意思是檢測應用程序本身中的異常行爲(這可能被認爲是防火牆的完全合法請求)。 (例如,大多數防火牆通常無法幫助檢測機器人活動) – UpTheCreek 2010-05-09 06:25:47
@Sosh它實際上取決於機器人的類型。 WAF將爲此類漏洞掃描器造成嚴重問題:http://www.acunetix.com/ – rook 2010-05-09 06:30:06
你可以看看統計異常。例如,在最後一天保持每小時失敗登錄百分比的運行平均值。如果這個比例突然變成三倍,那麼你可能正在考慮密碼破解嘗試。
沒有辦法告訴前面這種算法的正確參數是什麼。我會說你先讓他們過於敏感,然後調整他們,直到誤報的數量變得可以接受。
好主意..... +1 – UpTheCreek 2010-05-09 06:33:27
要知道您是否會發現應用程序出現問題,最好的辦法是積極主動地找出問題所在。首先從威脅模型開始。威脅模型對攻擊者發現潛在問題至關重要。
以下是我將瞭解應用程序威脅的步驟: - 首先識別應用程序中的所有進程(即身份驗證,事務處理等) - 其次,數據流最高和最關鍵的過程。對我而言,數據流圖是在視覺上看到潛在攻擊來自哪裏的最大幫助。第三,分析你的流程。爲此,我推薦一個類似於Microsoft的威脅建模工具的工具。它很好的迫使你查看所有可能的攻擊媒介。第四,制定一個計劃來解決你發現的問題。
這個過程非常有用,因爲開發應用程序的人知道如何比攻擊者更好地發現缺陷。
重複品種增強...重複品種增強...重複品種增強...(+1) – 2010-05-08 17:27:36
你看,這是最常見,最具破壞性和最容易忘記的事情之一! – LukeN 2010-05-08 17:29:47
是啊:) +1,但假設我們相信我們已經完成了儘可能多的關於用戶輸入的人性化操作,那麼您將如何確保快速提醒您遇到問題? – UpTheCreek 2010-05-08 17:30:25