我的一位客户使用 McAfee ScanAlert(即 HackerSafe)。它基本上每天会收到大约 1500 个错误请求,以寻找安全漏洞。由于它表现出恶意行为,因此很容易在几个错误请求后阻止它,但也许我应该让它运行 UI。如果我不让它完成,这是一个真正的测试吗?
问问题
451 次
4 回答
2
让黑客将他们武器库中的所有东西都扔到网站上,这不是网站的安全漏洞吗?
好吧,您应该专注于关闭漏洞,而不是试图阻止扫描仪(这是一场徒劳的战斗)。考虑自己运行此类测试。
于 2008-08-23T09:17:00.227 回答
1
在几次试验之后阻止错误的请求是件好事,但你应该让它继续下去。如果您在 5 个错误请求后阻止它,您将不知道第 6 个请求是否不会使您的网站崩溃。
编辑:我的意思是,一些攻击者可能只发送一个请求,但类似于您因阻止而未测试的 1495 中的一个请求。而这一请求可能会破坏您的网站。
于 2008-08-23T09:22:05.627 回答
1
防止安全漏洞需要针对不同攻击采取不同的策略。例如,在拒绝服务攻击期间阻止来自某些来源的流量并不罕见。如果用户未能提供正确的凭据超过 3 次,则 IP 地址将被阻止或帐户被锁定。
当 ScanAlert 发出数百个可能包括 SQL 注入的请求时(仅举一个例子),它肯定与站点代码应考虑的“恶意行为”相匹配。
事实上,仅仅放置 UrlScan 或 eEye SecureIIS 可能会拒绝许多此类请求,但这是对站点代码的真正测试。检测恶意用户/请求并拒绝它们是站点代码的工作。测试在哪一层有效?
ScanAlert 以两种不同的方式呈现:格式错误的请求数量和作为测试的每个单独请求的多样性。似乎出现的两条建议如下:
- 站点代码不应尝试检测来自特定来源的恶意流量并阻止该流量,因为这是徒劳的。
- 如果您确实尝试了这种徒劳的努力,那么至少要对来自 ScanAlert 的请求进行例外处理,以便测试较低的层。
于 2008-08-24T04:55:49.753 回答
0
如果它不损害网站的性能,我认为这是一件好事。如果您有 1000 个客户到同一个站点都这样做,是的,阻止它。
但如果该网站是为该客户建立的,我认为他们这样做是公平的。
于 2008-08-23T04:23:14.270 回答