Для предотвращения нарушений безопасности требуются разные стратегии для разных атак. Например, было бы весьма необычно блокировать трафик из определенных источников во время атаки типа «отказ в обслуживании». Если пользователь не может предоставить правильные учетные данные более 3 раз, IP-адрес блокируется или учетная запись блокируется.
Когда ScanAlert выдает сотни запросов, которые могут включать в себя SQL-инъекцию - если не считать одного - это, безусловно, соответствует тому, что код сайта должен считать «вредоносным поведением».
На самом деле, простое внедрение UrlScan или eEye SecureIIS может отказать во многих таких запросах, но это настоящий тест кода сайта. Задача кода сайта - обнаруживать злонамеренных пользователей / запросы и отклонять их. На каком слое действует тест?
ScanAlert представлен двумя различными способами: количество искаженных запросов и разнообразие каждого отдельного запроса в качестве теста. Похоже, что появляются два совета:
- Код сайта не должен пытаться обнаружить вредоносный трафик из определенного источника и заблокировать этот трафик, потому что это бесполезное усилие.
- Если вы делаете такую тщетную попытку, по крайней мере, сделайте исключение для запросов от ScanAlert для проверки нижних уровней.