Как я должен отслеживать потенциальные угрозы для моего сайта?

Question

Просматривая наш журнал ошибок DB's, мы обнаружили, что поток постоянных почти успешных атак с использованием SQL-инъекций постоянно увеличивается. Некоторое быстрое кодирование позволило избежать этого, но как я мог настроить монитор для БД и веб-сервера (включая запросы POST), чтобы проверить это? Под этим я подразумеваю, если есть готовые инструменты для сценаристов, есть ли готовые инструменты, которые предупредят вас об их внезапном случайном интересе к вашему сайту?

Answer 1

Как ни странно, сегодня у Скотта Хансельмана на UrlScan появилось сообщение , которое вы могли бы сделать, чтобы помочь отслеживать и минимизировать потенциальные угрозы. Это довольно интересное чтение.

Answer 2

Если бы вы могли вернуться и изменить код своего приложения, я бы предложил интегрировать log4j / log4net в приложение. Оттуда вы можете написать код, который проверит поле формы или URL (скажем, на уровне global.asax для приложений .NET) и сделает запись в журнале при обнаружении вредоносного кода.

Приятной особенностью log4j / log4net является то, что вы можете настроить приложение типа «электронная почта / пейджер / SMS», так что как только вредоносная попытка будет обнаружена, вы получите уведомление.

Я нахожусь в процессе слияния некоторого кода log4net в нашу систему CMS, и я собираюсь сделать это в свете наплыва атак ASPRox, которые происходят на нашем пути.

Answer 3

UrlScan кажется хорошим вариантом для iis6 и 7; Я также нашел: dotDefender для оплаты, которая также охватывает Apache или IIS 5-7, и я обнаружил SQL-инъекцию санации ISAPI

Стоит также отметить, что в свете недавней широко распространенной попытки внедрения SQL-кода хорошая идея запретить учетной записи пользователя db вашего веб-приложения запрашивать системные таблицы (в MS SQL Server это sysobjects и syscolumns).

Я думаю, что этот поток гарантирует больше бесплатных решений для Apache и других веб-серверов.

К сожалению, обнаружение вторжения было не тем, что я имел в виду, поэтому sgfree - это не совсем монитор атаки на веб-сайт, если я не понимаю, как он работает.

Answer 4

Вы можете настроить свою систему так, чтобы она выводила какое-то сообщение об ошибке, которое затем делает JSON или http-вызов в систему, которая будет отслеживать, сообщать (регистрировать) и отправлять любые виды предупреждений, такие как SMS / электронная почта или телефонный звонок. ,

Проверьте developer.alertcaster.com

Особенно, если вам нужно отслеживать несколько одновременных событий, которые, как вы думаете, происходят, это может быть хорошим решением.

Answer 5

Мониторинг журналов доступа к сети и БД должен предупреждать вас о подобных вещах, но если вы хотите более полнофункциональную систему оповещений, я бы предложил какой-нибудь IDS / IPS. Вам понадобится запасной компьютер и коммутатор, который может выполнять зеркалирование портов. Если они у вас есть, тогда IDS - это дешевый способ мониторинга вашего трафика для многих попыток вторжения (их будет много). IDS на основе Snort (www.snort.org) превосходны, и есть несколько бесплатных полностью упакованных версий. Я использовал StrataGuard (http://sgfree.stillsecure.com/),) и может быть настроен как IDS (система обнаружения вторжений) или как IPS (система предотвращения вторжений). Его можно использовать бесплатно, если ваш трафик не превышает 5 Мбит / с. Если вы используете IDS / IPS, я бы посоветовал вам запустить его в качестве простого IDS на месяц или около того, прежде чем вы позволите ему предотвратить атаки.

Это может быть излишним, но если у вас есть запасная машина, это может помешать пассивной работе IDS.