我想问一下我们当中积极主动(或偏执)的人:您在寻找什么,以及如何寻找?
我主要考虑可以以编程方式观察的事情,而不是手动检查日志。
例如:
只是想知道大多数人会认为什么是实用和有效的。
预防性的东西(如用户输入卫生)当然是至关重要的,但在这个问题的情况下,我对检测潜在威胁更感兴趣。在这种情况下,我对防盗警报器感兴趣,而不是锁。
我正在谈论的这种事情的一个例子存在于 SO 上。如果您在短时间内对问题进行过多修改,它会显示验证码以确保您不是机器人。
给你三个提示:
记住它,并记住它。
您可以查看统计异常。例如,保持过去一天每小时失败登录百分比的运行平均值。如果该百分比突然变成三倍,那么您可能正在查看密码破解尝试。
没有办法预先告诉这种算法的正确参数是什么。我会说你首先让它们过于敏感,然后将它们调低,直到误报的数量变得可以接受。
在进入 Web 应用程序之前查找恶意 http 请求的应用程序称为Web 应用程序防火墙。大多数 WAF 可以配置为在检测到攻击时发送电子邮件,因此您有一个“防盗警报”。WAF 更有助于在攻击到达您的 Web 应用程序之前阻止攻击,这更像是一堵砖墙,当您触摸它时就会被激怒。
了解您是否会看到应用程序问题的最佳方法是积极主动地自己识别问题。首先从威胁模型开始。威胁模型对于在攻击者之前发现潜在问题至关重要。
以下是我要了解应用程序威胁情况的步骤: - 首先确定应用程序中的所有进程(即身份验证、事务处理等) - 其次,数据流向最高和最关键的进程。对我来说,数据流图是直观了解潜在攻击来源的最大帮助。- 第三,分析您的流程。为此,我推荐使用 Microsoft 的威胁建模工具之类的工具。它擅长迫使您查看所有可能的攻击媒介。- 第四,制定一个计划来解决你发现的问题。
这个过程非常有用,因为开发应用程序的人比攻击者更了解如何找到漏洞。