Как я должен отслеживать потенциальные угрозы для моего сайта?

Посмотрев DB'sжурнал ошибок, мы обнаружили, что поток постоянных успешных SQL-инъекций постоянно увеличивается. Некоторое быстрое кодирование избежало этого, но как я мог настроить монитор для БД и веб-сервера (включая запросы POST), чтобы проверить это? Под этим я подразумеваю, если есть готовые инструменты для сценаристов, есть ли готовые инструменты, которые предупредят вас об их внезапном случайном интересе к вашему сайту?

12.08.2008 05:40:49
5 ОТВЕТОВ
РЕШЕНИЕ

Как ни странно, сегодня Скотт Хансельман опубликовал на UrlScan сообщение, которое вы можете сделать, чтобы помочь отслеживать и минимизировать потенциальные угрозы. Это довольно интересное чтение.

5
12.08.2008 05:47:15

Мониторинг журналов доступа к сети и БД должен предупреждать вас о подобных вещах, но если вы хотите более полнофункциональную систему оповещений, я бы предложил какой-то IDS / IPS. Вам понадобится запасной компьютер и коммутатор, который может выполнять зеркалирование портов. Если они у вас есть, тогда IDS - это дешевый способ отслеживания вашего трафика для многих попыток вторжения (их будет много). IDS на основе Snort (www.snort.org) превосходны, и есть несколько бесплатных полностью упакованных версий. Я использовал StrataGuard ( http://sgfree.stillsecure.com/), и его можно настроить как IDS (система обнаружения вторжений) или как IPS (система предотвращения вторжений). Его можно использовать бесплатно, если ваш трафик не превышает 5 Мбит / с. Если вы используете IDS / IPS, я бы посоветовал вам запустить его в качестве простого IDS в течение месяца или около того, прежде чем вы позволите ему предотвратить атаки.

Это может быть излишним, но если у вас есть запасная машина, она не помешает пассивной работе IDS.

0
12.08.2008 13:46:30

UrlScan кажется хорошим вариантом для iis6 и 7; Я также нашел: dotDefender for pay, который также охватывает Apache или IIS 5-7, и я обнаружил SQL-инъекцию санации ISAPI

Стоит также отметить, что в свете недавней широко распространенной попытки внедрения SQL-кода хорошая идея запретить учетной записи пользователя db вашего веб-приложения запрашивать системные таблицы (в MS SQL Server это sysobjects и syscolumns).

Я думаю, что этот поток гарантирует больше бесплатных решений для Apache и других веб-серверов.

К сожалению, обнаружение вторжения было не тем, что я имел в виду, поэтому sgfree - это не совсем монитор атаки на веб-сайт, если я не понимаю, как он работает.

2
14.08.2008 21:32:59

Если бы вы могли вернуться и изменить код своего приложения, я бы предложил интегрировать log4j / log4net в приложение. Оттуда вы можете написать код, который проверит поле формы или URL (скажем, на уровне global.asax для приложений .NET) и сделает запись в журнале при обнаружении вредоносного кода.

Приятной особенностью log4j / log4net является то, что вы можете настроить приложение типа «электронная почта / пейджер / SMS», так что как только вредоносная попытка будет обнаружена, вы будете уведомлены.

Я нахожусь в процессе слияния некоторого кода log4net в нашу систему CMS, и я собираюсь сделать это в свете наплыва атак ASPRox.

2
14.08.2008 21:49:19

Вы можете настроить свою систему так, чтобы она выводила какое-то сообщение об ошибке, которое затем вызывает JSON или http-вызов в систему, которая будет отслеживать, сообщать (регистрировать) и отправлять любые виды предупреждений, такие как SMS / электронная почта или телефонный звонок.

Проверьте developer.alertcaster.com

Особенно, если вам нужно отслеживать несколько одновременных событий, которые, как вам кажется, происходят, это может быть хорошим решением.

0
1.10.2013 20:37:10