Каков наилучший способ обнаружения атак веб-приложений?

Question

Каков наилучший способ опроса и обнаружения плохого поведения пользователей или атак, таких как отказ в обслуживании или эксплойты в моем веб-приложении?

Я знаю, что статистика сервера (например, Awstats ) очень полезна для такого рода целей, особенно для просмотра ошибок 3XX, 4XX и 5XX (, вот пример страницы Awstats ), которые часто боты или недобросовестные пользователи, которые пробуют общеизвестные плохие или неправильно сформированные URL-адреса.

Существуют ли другие (и лучшие) способы для анализа и обнаружения такого рода предварительных атак?

Примечание. Я говорю об атаках на основе URL, а не об атаках на компоненты сервера (например, на базу данных или TCP / IP).

Answer 1

Войти все. Затем изучите журналы вручную, найдите неинтересные вещи и напишите анализатор, который отбрасывает эти записи журнала. Как только вы это сделаете, промойте и повторяйте, пока не останетесь только с интересными вещами. Теперь, когда у вас есть только интересные записи в журнале, решите, какие из них опасны, а какие - безвредны, но раздражают, и исправьте по мере необходимости.

Answer 2

Если у вас есть бюджет, используйте брандмауэр веб-приложений (WAF). Они созданы специально для распознавания и блокировки атак на уровне приложений. Есть также несколько дешевых WAF, даже один или два с открытым исходным кодом.

Обратите внимание, что вы все равно должны практиковать безопасное кодирование и т. Д .; WAF отлично подходит для глубокой защиты и временных виртуальных исправлений.

Answer 3

Сначала вы должны сказать, что является или не является потенциальным эксплойтом, иногда URL может быть допустимым запросом, а иногда это может быть атака XSS. Большая часть трафика может быть DDoS или результатом упоминания в статье о слэшдоте.

Далее вы можете просматривать журналы для различных типов атак - например, DDoS, которые вы хотите проверить с помощью IP-инструментов (так как множество DDoS-атак выполняется на не-веб-портах, таких как потоки SYN).

Затем вы хотите установить mod_security и установить для него некоторые правила (вы можете найти множество предопределенных наборов правил в Интернете). Это читает запрос и анализирует его для общих или известных атак (таких как URL, содержащие текст типа sql или html).

Answer 4

Я обычно пишу свой собственный анализатор логов, который пытается следить за событиями, которые обычно происходят, когда навигация выполняется людьми НЕ Нравится:
Прямой доступ к страницам с URL или параметрами неизвестными
Формы обратной связи загружаются, компилируются и публикуются менее чем за 10 секунд
Неправильные последовательности ссылок HTML или «критические» последовательности символов в размещенных полях И так далее ...

Answer 5

Больше сети в целом, но SATAN очень хорош

http://www.porcupine.org/satan/

SATAN - это инструмент, помогающий системным администраторам. Он распознает несколько распространенных проблем безопасности, связанных с сетью, и сообщает о проблемах, фактически не используя их.