Я думаю, что чек-лист меняется со временем, и его теория вместе с опытом. Я всегда проверяю свои файлы журналов и вижу новые способы, которыми они пытаются проникнуть на мой сайт - например, сканирование «несуществующих» файлов или попытки выполнить случайные запросы.
Хорошая страница с множеством статей о проникновении: http://www.cgisecurity.com/pentest.html
Некоторые из способов, которыми пытаются проникнуть на мои сайты.
Наиболее общий
- SQL-инъекции, поэтому я проверяю и блокирую пользователей, которые обращаются к моим сайтам с помощью команды "select" в строке URL-адреса. Я также проверяю наличие других команд sql.
- Забудьте о браузере файлов javascript. Я вижу, что в последнее время они ищут такие ссылки, как: wwwmysite.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=
Чтобы найти их, я отслеживаю событие «Страница не найдена». Конечно, если страница найдена, они проникают. Тем не менее, более вероятно увидеть неудачные попытки и увидеть, что они ищут.
Атака оракула
В эти дни я также вижу множество атак оракулов. Я нахожу их и блокирую полный IP-адрес злоумышленника с помощью этого кода: CryptographicException: заполнение недействительно и не может быть удалено, а проверка MAC состояния просмотра не удалась
Кража куки
Я также слежу за ответами на этот вопрос: Может ли хакер украсть куки-файл у пользователя и войти под этим именем на веб-сайт?
Основные моменты: всегда используйте ssl-шифрование для куки-файлов входа ( requireSSL = true), а не размещать роли для файлов cookie (cacheRolesInCookies = false).
Заблокировать в расширенном режиме
Я также блокирую IP-адреса из черного списка изнутри system / program / iis, но в прошлом я использовал PeerGuardian. Также там вы можете найти множество плохих списков IP, которые вы можете заблокировать заранее. Единственное, что хочу отметить по этим плохим IP-адресам, это то, что я не блокирую их навсегда, а только на несколько дней. Блок плохих IP-адресов помогает мне также с сотней спамерских писем. http://phoenixlabs.org/pg2/
Изучить журнал
Я думаю, что есть много способов, которыми люди могут подумать и попытаться проникнуть на ваш сайт. Дело в том, как вы можете их предсказать и зарегистрировать до того, как это произойдет, и всегда создать лучший механизм, чтобы их избежать. Как я уже сказал, я отслеживаю, что страница не найдена, и внутреннюю ошибку, которую выдает страницы. Эти два метода показывают мне множество попыток проникновения.
Загрузка скриптов.
Если у вас есть доступ к загрузке файлов, изображений и прочего, убедитесь, что они не могут быть запущены в каталоге загрузки. Это можно сделать, дважды проверив расширение файла, а также отключив запуск программ и сценариев в этом каталоге с самого сервера, а также поместив файл web.config в каталог загрузки с помощью:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
Прочтите один случай: Я был взломан. Загружен злой aspx файл под названием AspxSpy. Они все еще пытаются. Помогите мне поймать их‼
person
Aristos
schedule
12.11.2010