DB's 오류 로그를 보면 거의 성공적으로 SQL 주입 공격이 연속적으로 발생하는 것으로 나타났습니다. 일부 빠른 코딩은 그것을 피했지만 어떻게 DB 서버와 웹 서버 (POST 요청 포함)에 대한 모니터가이를 확인할 수 있습니까? 이 말은 스크립트 키디를위한 선반 도구가 없으면 갑자기 무작위로 사이트에 관심을 갖도록 알릴 선반 도구가 있습니까?내 사이트의 잠재적 위협을 어떻게 모니터해야합니까?
Funnily, Scott Hanselman은 오늘 post on UrlScan을 가졌습니다. 잠재적 인 위협을 모니터링하고 최소화하는 데 도움이 될 수있는 한 가지 방법이 있습니다. 그것은 꽤 재미있는 읽을 거리입니다.
모니터링 웹 및 DB 액세스 로그에서 이와 같은 사항을 알려야하지만보다 완벽한 기능의 경고 시스템을 원한다면 IDS/IPS 같은 것을 제안 할 것입니다. 여분의 머신과 포트 미러링을 수행 할 수있는 스위치가 필요합니다. IDS가있는 경우 IDS는 많은 침입 시도에 대해 트래픽을 모니터링하는 저렴한 방법입니다 (많은 정보가있을 것입니다). Snort (www.snort.org) 기반의 IDS는 우수하며 무료로 제공되는 패키지 버전도 있습니다. 내가 사용한 StrataGuard (http://sgfree.stillsecure.com/)는 IDS (Intrusion Detection System) 또는 IPS (Intrusion Prevention System)로 구성 할 수 있습니다. 트래픽이 5Mbps를 초과하지 않으면 무료입니다. IDS/IPS를 사용하는 경우 공격 방지를 위해 한 달 정도 간단한 IDS로 실행하도록 권합니다.
과도 할 수 있지만 여분의 컴퓨터가 주위에 놓여 있으면 IDS가 수동적으로 작동하도록 해가 될 수 없습니다.
UrlScan은 iis6 및 7에 대한 좋은 옵션처럼 보입니다. 나는 또한 발견 : 아파치 나 IIS 5-7를 포함 급여에 대한 dotDefender, 나는 또한 최근의 폭 넓은 확산 SQL 주입 시도의 관점에서 주목할 가치가있는 SQL Injection sanitation ISAPI
를 발견했다 그에서 웹 애플리케이션의 DB 사용자 계정을 dissallowing 시스템 테이블 (MS SQL Server에서는 sysobjects 및 syscolumns)을 쿼리하는 것이 좋습니다.
이 스레드는 Apache와 다른 웹 서버에 대해 더 많은 무료 솔루션을 제공한다고 생각합니다.
불행히도 침입 탐지는 제가 염두에 두었던 것이 아니므로 sgfree는 그것이 작동하는 방식을 이해하지 못한다면 정확하게 웹 사이트 공격 모니터가 아닙니다.
돌아가서 앱 코드를 수정할 수 있다면 log4j/log4net을 애플리케이션에 통합하는 것이 좋습니다. 거기에서 양식 필드 나 URL을 확인하는 코드 (예 : .NET 앱의 경우 global.asax 수준)를 작성하고 악성 코드가 발견되면 로그 항목을 만들 수 있습니다.
log4j/log4net에 대한 좋은 점은 전자 메일/호출기/SMS 유형 appender를 구성하여 악의적 인 시도가 포착 되 자마자 알림을 받게된다는 것입니다.
저는 우리가 가지고있는 CMS 시스템에 일부 log4net 코드를 병합하는 중입니다. 우리는 앞으로오고있는 ASPRox 공격의 유입을 고려하여이 작업을 수행하려고합니다.
SMS/이메일 또는 전화와 같은 모든 종류의 경고를 모니터링,보고 (로그)하고 발송할 시스템에 대한 JSON 또는 http 호출을 생성하는 오류 메시지를 걷어 내도록 시스템을 설정할 수 있습니다 요구.
developer.alertcaster를 확인하십시오.co.kr에서
특히 여러 개의 동시 이벤트를 모니터링해야하는 경우에는 계속 진행되는 것처럼 들리지만 이는 좋은 해결책 일 수 있습니다.