Обнаружение эксплойтов в веб-приложениях и как действовать

На ум приходят три вещи:

1. защитное кодирование, дезинфекция всего ввода, подготовка операторов sql и использование Suhosin
2. повысить безопасность своего сайта, взломав его с помощью сканера уязвимостей
3. регистрировать попытки взлома с помощью системы обнаружения вторжений

Если вам кажется, что полноценная IDS - это слишком, попробуйте PHP IDS, поскольку она делает в значительной степени то, о чем вы просите. из коробки. Обратите внимание, что обнаружение вторжений на уровне PHP может быть уже слишком поздно для предотвращения атаки.

В случае успешного вторжения, я думаю, лучше всего отключить сервер и посмотреть, какой ущерб был нанесен. Возможно, вам придется подумать о том, чтобы нанять кого-нибудь для проведения судебно-медицинской экспертизы машины на случай, если вам понадобится собрать юридически применимые доказательства.

Если вы чувствуете, что должны отреагировать на неудачные попытки вторжения и получили IP-адрес злоумышленника, найдите интернет-провайдера и сообщите ему как можно больше подробностей о попытке вторжения. У большинства интернет-провайдеров есть контакты для таких случаев.

Ваш вопрос двоякий, и я отвечу на вторую часть.

Записывать все, но не запрещать и не отображать никаких сообщений. Будет неловко в случае ложного срабатывания. Как правило, старайтесь создавать приложение, способное без проблем обрабатывать любой тип пользовательского ввода.

просто используйте strip_tags() для всех переменных $_REQUEST и $_COOKIE, чтобы позаботиться о коде, отображаемом в этих переменных, так как для SQL вам, возможно, придется написать регулярное выражение, подобное запросу, или что-то в этом роде, но это не должно быть проблемой, поскольку вы всегда должен mysql_real_escape_string($str) все переменные в ваших запросах. хотя попробуйте что-нибудь вроде этого.

function look_for_code_and_mail_admin($str) {
    $allowed_tags = "<a>,<br>,<p>";
    if($str != strip_tags($str, $allowed_tags)) {
        $send_email_to = "[email protected]";
        $subject = "some subject";
        $body = "email body";
        mail($send_email_to,$subject,$body);   
    }
    return($str);
}

Хм, я не могу вспомнить, когда в последний раз я видел сайт, который пытается регистрировать атаки с помощью SQL-инъекций, которые я не смог взломать.

Вам не нужно беспокоиться о том, что кто-то атакует сайт, поскольку это в лучшем случае субъективно, независимо от того, является ли что-то атакой или нет. Что, если сайт base64 кодирует некоторые значения и декодирует их перед тем, как использовать? Ваша IDS не поймает это. Что, если пользователь захочет опубликовать фрагмент кода, его обнаружат как эксплойт, поскольку он содержит SQL? Это такая трата времени ... Если вам действительно нужно знать, атакует ли кто-то вас, просто установите несколько IDS на отдельную машину с доступом только для чтения к входящему трафику ... Я говорю отдельная машина, потому что многие IDS сами по себе уязвимы и только усугубят ситуацию.

Используйте стандартные методологии безопасного программирования, используйте параметризованные SQL-запросы или ORM.

Мне кажется, слишком много работы с электронной почтой и всем остальным. Кроме того, мне нравится бегать по сайтам, которыми я часто пользуюсь, и пытаться найти инъекционные точки, чтобы я мог предупредить об этом администратора. Вы бы забанили меня по IP за это?

Я предлагаю самостоятельно отыскать детали, которые можно использовать, и при необходимости продезинфицировать их. У Acunetix есть очень хорошая программа для этого. Если вам не хочется выкладывать гигантскую цену за Acunetix, есть несколько очень хороших надстроек Firefox под названием XSS Me и SQL Inject me, которые вы, возможно, захотите изучить.