Обнаружение подозрительного поведения в веб-приложении - что искать?

Question

Обнаружение подозрительного поведения в веб-приложении - что искать?

Я хотел бы спросить превентивное (или параноидальный;) среди нас: Что Вы ищете, и как?

Я думаю главным образом о вещах, за которыми можно наблюдать программно, вместо того, чтобы вручную осмотреть журналы.

Например:

Ручные/автоматизировать попытки взлома.
Скользящие данные.
Регистрация бота (которые уклонились от капчи и т.д.).
Другое нежелательное поведение.

Просто задавшись вопросом, что большинство людей считало бы практичным и эффективным.

Профилактический материал (как санитария ввода данных пользователем), конечно, крайне важен, но в случае этого вопроса я больше интересуюсь обнаружением потенциальной угрозы. В этом случае я интересуюсь Сигнализацией, а не блокировками.

Пример вида вещи, о которой я говорю, существует здесь на ТАК. При создании слишком многих модификаций к вопросу в короткий промежуток времени он поднимает капчу, чтобы удостовериться, что Вы не бот.

7

security web-applications bots

задан Sam 17 August 2014 в 20:51

3 ответа

Другие вопросы по тегам:

security web-applications bots

Похожие вопросы:

score 3 · Answer 1

Три указателя для вас:

Очистить ввод пользователя
Очистить ввод пользователя
Очистить ввод пользователя

Запомните и запомните хороший.

score 1 · Answer 2

Приложение, которое ищет вредоносные http-запросы до того, как они попадут в веб-приложение, называется Web Application Firewall. Большинство WAF могут быть настроены на отправку электронных писем при обнаружении атак, таким образом, у вас есть "сигнализация от взломщика". WAF более полезны для предотвращения атак до того, как они достигнут вашего веб-приложения, которое больше похоже на кирпичную стену, которая приходит в ярость, когда вы к ней прикасаетесь.

score 2 · Answer 3

Вы можете посмотреть статистические аномалии. Например, сохраните текущее среднее значение процента неудачных попыток входа в систему за каждый час за последний день. Если этот процент внезапно станет, скажем, в три раза больше, возможно, вы имеете дело с попыткой взлома пароля.

Невозможно заранее сказать, какими будут правильные параметры для такого алгоритма. Я бы сказал, что вы начнете с того, что сделаете их слишком чувствительными, а затем уменьшите их, пока количество ложных срабатываний не станет приемлемым.