Сведения о вопросе

CPdeveloper

23:02, 7th August, 2020

Теги

performance   security    

Что делать с ScanAlert?

Просмотров: 331   Ответов: 4

Один из моих клиентов использует McAfee ScanAlert (т. е. HackerSafe). Он в основном попадает на сайт с около 1500 плохих запросов в день ищет дыры в безопасности. Поскольку он демонстрирует вредоносное поведение, заманчиво просто заблокировать его после нескольких плохих запросов, но, возможно, я должен позволить ему использовать UI. Будет ли это настоящим испытанием, если я не дам ему закончить?



  Сведения об ответе

baggs

03:06, 27th August, 2020

Разве это не недостаток безопасности сайта, чтобы позволить хакерам бросить все в их арсенале против сайта?

Ну, вы должны сосредоточиться на закрытии отверстий, а не пытаться помешать сканерам (что является бесполезной битвой). Подумайте о том, чтобы провести такие тесты самостоятельно.


  Сведения об ответе

FAriza

21:00, 22nd August, 2020

Это хорошо, что вы блокируете плохой запрос после нескольких попыток, но вы должны позволить ему продолжаться. Если вы заблокируете его после 5 плохих запросов, вы не будете знать, не приведет ли 6-й запрос к краху вашего сайта.

EDIT: Я имел в виду, что какой-то злоумышленник может отправить только один запрос, но похожий на один из тех 1495, которые вы не тестировали, потому что вы заблокировали., и этот один запрос может повредить ваш сайт.


  Сведения об ответе

screen

00:27, 17th August, 2020

Предотвращение нарушений безопасности требует различных стратегий для различных атак. Например, нет ничего необычного в блокировании трафика из определенных источников во время атаки типа "отказ в обслуживании". Если пользователь не может предоставить правильные учетные данные более 3 раз, адрес IP блокируется или учетная запись блокируется.

Когда ScanAlert выдает сотни запросов, которые могут включать в себя SQL инъекции-чтобы назвать один-это, безусловно, соответствует тому, что код сайта должен рассмотреть "malicious behavior".

На самом деле, просто поставив UrlScan или eEye SecureIIS на место может отказать во многих таких запросах, но это истинная проверка кода сайта. Это работа кода сайта, чтобы обнаружить вредоносных пользователей / запросы и отказать им. На каком уровне тест действителен?

ScanAlert представляет два различных способа: количество запросов, которые являются неправильными, и разнообразие каждого отдельного запроса в качестве теста. Это похоже на 2 части советов, которые появляются следующим образом:

  1. Код сайта не должен пытаться обнаружить вредоносный трафик из определенного источника и блокировать этот трафик, поскольку это бесполезно.
  2. Если вы попытаетесь сделать такое тщетное усилие, как минимум сделайте исключение для запросов от ScanAlert для тестирования нижних уровней.


  Сведения об ответе

darknet

14:33, 23rd August, 2020

Если это не вредит производительности сайта, я думаю, что это хорошо. Если у вас было 1000 клиентов на один и тот же сайт, все это делают, да, заблокируйте его.

Но если сайт был построен для этого клиента, я думаю, что это достаточно справедливо, что они это делают.


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться