Что делать со ScanAlert?
Один из моих клиентов использует McAfee ScanAlert (например, HackerSafe). В основном он попадает на сайт примерно с 1500 ошибочными запросами в день в поисках дыр в безопасности. Поскольку он демонстрирует вредоносное поведение, возникает соблазн просто заблокировать его после пары неверных запросов, но, возможно, мне стоит позволить ему проверить пользовательский интерфейс. Будет ли это настоящим испытанием, если я не позволю ему закончиться?
Ответы 4
Если это не вредит производительности сайта, я считаю, что это хорошо. Если у вас было 1000 клиентов на одном сайте, которые все это делали, да, заблокируйте его.
Но если сайт был создан для этого клиента, я думаю, что это будет справедливо, если они это сделают.
Isn't it a security flaw of the site to let hackers throw everything in their arsenal against the site?
Что ж, вам следует сосредоточиться на закрытии дыр, а не на попытках помешать сканерам (а это бесполезная битва). Подумайте о том, чтобы провести такие тесты самостоятельно.
Хорошо, что вы заблокировали неверный запрос после пары попыток, но вы должны позволить этому продолжаться. Если вы заблокируете его после 5 неверных запросов, вы не узнаете, не приведет ли 6-й запрос к сбою вашего сайта.
Обновлено: Я имел в виду, что какой-то злоумышленник может отправить только один запрос, но похожий на один из тех 1495, которые Вы не тестировали, потому что заблокировали, и этот один запрос может привести к повреждению вашего сайта.
Для предотвращения нарушений безопасности требуются разные стратегии для разных атак. Например, нет ничего необычного в том, чтобы заблокировать трафик из определенных источников во время атаки типа «отказ в обслуживании». Если пользователь не может предоставить правильные учетные данные более чем в 3 раза, IP-адрес блокируется или учетная запись блокируется.
Когда ScanAlert выдает сотни запросов, которые могут включать SQL-инъекцию - чтобы назвать один - это определенно соответствует тому, что код сайта должен рассматривать как «вредоносное поведение».
Фактически, простая установка UrlScan или eEye SecureIIS может отклонить многие такие запросы, но это настоящая проверка кода сайта. Задача кода сайта - обнаруживать злонамеренных пользователей / запросы и отклонять их. На каком уровне действует тест?
ScanAlert представляет два разных способа: количество неправильно сформированных запросов и разнообразие каждого отдельного запроса в качестве теста. Похоже, что появляются два совета:
- Код сайта не должен пытаться обнаруживать вредоносный трафик из определенного источника и блокировать этот трафик, потому что это бесполезно.
- Если вы все же попытаетесь сделать такую тщетную попытку, как минимум сделайте исключение для запросов от ScanAlert, чтобы протестировать нижние уровни.