나는 우리 사이에 능동적 인 (또는 편집증적인) 질문을하고 싶다. 무엇을 찾고 있는가?웹 응용 프로그램에서 의심스러운 동작 감지 - 찾을 대상?
로그를 수동으로 검사하는 것이 아니라 프로그래밍 방식으로 볼 수있는 것에 대해 주로 생각하고 있습니다. 예를 들어
:
대부분의 사람들이 실용적이고 효과적이라고 생각하는 것이 궁금합니다.
사용자 입력 위생과 같은 예방 조치는 물론 중요합니다. 그러나이 질문의 경우 나는 잠재적 인 위협을 발견하는 데 더 관심이 있습니다. 이 경우 나는 자물쇠보다 도난 경보에 관심이 있습니다.
여기에 내가 말하고있는 종류의 예가 있습니다. 짧은 시간에 질문에 너무 많은 수정을 가하면 captcha가 나타나서 봇이 아닌지 확인합니다. 당신을 위해
세 가지 포인터 :
, 그리고 좋은 기억.
악성 http 요청을 웹 응용 프로그램에 보내기 전에이를 찾는 응용 프로그램을 Web Application Firewall이라고합니다. 공격이 탐지되면 이메일을 보내도록 대부분의 WAF를 구성 할 수 있으므로 "도난 경보"가 발생합니다. WAF는 웹 응용 프로그램에 도달하기 전에 공격을 방지하는 데 더 유용합니다. 웹 응용 프로그램은 손을 댈 때 열 받게되는 벽돌 벽과 같습니다.
감사합니다. 그러나 오히려 응용 프로그램 자체에서 비정상적인 동작 (방화벽에 의해 완벽하게 합법적 인 요청으로 간주 될 수 있음)을 감지하는 의미였습니다. (예 : 대부분의 방화벽은 일반적으로 봇 활동을 탐지하는 데 도움이되지 않습니다) – UpTheCreek
@Sosh entierly는 봇의 유형에 따라 다릅니다. WAF는 다음과 같은 취약점 스캐너에 심각한 문제를 일으킬 수 있습니다. http://www.acunetix.com/ – rook
통계적으로 예외가 있습니다. 예를 들어, 마지막 날의 각 시간에 대한 로그인 실패 비율의 평균을 유지하십시오. 그 비율이 예를 들어 갑자기 3 배가되면 암호 해독 시도가있을 수 있습니다.
알고리즘에 대한 올바른 매개 변수가 무엇인지 전방에 알릴 방법이 없습니다. 지나치게 민감하게 시작한 다음 잘못된 위식도가 허용 될 때까지 조정할 것이라고 말하고 싶습니다.
좋은 아이디어 ..... +1 – UpTheCreek
응용 프로그램의 문제점을 알 수있는 가장 좋은 방법은 직접 문제를 식별하는 것입니다. 먼저 위협 모델로 시작하십시오. 위협 모델은 공격자가하기 전에 잠재적 인 문제를 찾는 데 중요합니다.
다음은 응용 프로그램 위협 요소에 대한 이해를 돕기위한 단계입니다. - 먼저 응용 프로그램의 모든 프로세스 식별 (인증, 트랜잭션 처리 등) - 둘째, 데이터 흐름이 가장 높음 가장 중요한 프로세스.나에게 데이터 흐름 다이어그램은 잠재적 공격이 어디에서 발생하는지 시각적으로 보여주는 가장 큰 도움입니다. - 셋째, 프로세스를 분석하십시오. 이를 위해 Microsoft의 위협 모델링 도구와 같은 도구를 사용하는 것이 좋습니다. 가능한 모든 공격 경로를 살펴 보도록하십시오. - 넷째, 찾는 것을 고치기위한 계획을 세우십시오.
이 프로세스는 응용 프로그램을 개발하는 사람들이 공격자보다 결함을 찾는 방법을 잘 알고 있기 때문에 매우 유용합니다.
반복 품종 보강 ... 반복 품종 보강 ... 반복 번식 보강 ... (+1) –
당신은 잊어 버릴 가장 보편적 인, 가장 파괴적인 것 중 하나입니다. – LukeN
예 :) +1하지만 사용자 입력과 관련하여 인간이 할 수있는만큼 많이 수행했다고 가정하면 문제를 신속하게 알릴 수 있습니까? – UpTheCreek