Documente Academic
Documente Profesional
Documente Cultură
Detectarea Atacurilor Asupra Aplicațiilor Web Din Fișierele Jurnal
Detectarea Atacurilor Asupra Aplicațiilor Web Din Fișierele Jurnal
2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Pagina 1
HARTIE ALBA
Detectarea atacurilor
pe aplicații Web
din Fișiere jurnal
Roger Meyer
Pagina 2
https://translate.googleusercontent.com/translate_f 1/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 3
Contur
https://translate.googleusercontent.com/translate_f 2/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
3.3 Expresii regulate (Regex) .............................. 14
4 Detectarea atacurilor ............................................... 15
4.1 Detecție bazată pe reguli (reguli statice) ...................... 20
4.1.1 Model de securitate negativ .............................. 20
4.1.2 Model de securitate pozitivă .............................. 21
4.2 Detecție bazată pe anomalii (reguli dinamice) .................. 21
4.3 Detectarea Top Ten OWASP 2007 ......................... 22
4.3.1 A1 Cross Site Scripting (XSS) ...................... 22
4.3.2 Defecțiuni la injecție A2 ................................. 26
4.3.3 Executarea fișierelor rău intenționate A3 ....................... 32
4.3.4 Referință directă a obiectului A4 nesigur ................ 33
4.3.5 A5 Falsificare de cereri de site-uri încrucișate (CSRF) ............... 35
4.3.6 Scurgerea informațiilor A6 și gestionarea necorespunzătoare a erorilor. 37
4.3.7 A7 Autentificare defectă și gestionarea sesiunii. . . .38
4.3.8 A8 Stocare criptografică nesigură .................. 39
Pagina 4
1 Rezumat
https://translate.googleusercontent.com/translate_f 3/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
asigură o apărare adecvată. Atacurile actuale nu pot fi contracarate de
doar blocarea porturilor 80 (HTTP) și 443 (HTTPS).
deşi. Fișierele jurnal ale serverului web conțin doar o fracțiune din total
Solicitare și răspuns HTTP. Cunoscând aceste limite, majoritatea
atacurile pot fi recunoscute și acționate pentru a preveni în continuare
exploatare.
Pagina 5
2 Introducere
https://translate.googleusercontent.com/translate_f 4/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
resursele care afirmă că aplicațiile web sunt printre cele mai multe
ținte atacate ([SC Magazine, 2007] și [IT Week, 2006]).
Roger Meyer 4
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 6
https://translate.googleusercontent.com/translate_f 5/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
● Atacatorii care operează din baze din întreaga lume sunt
devenind mai bine la acoperirea urmelor lor.
Roger Meyer 5
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 7
Proiectul [OWASP Top Ten Project, 2007] enumeră cele mai importante 10
defecte de securitate a aplicațiilor web. Fundația OWASP este o notfor
organizație de profit care oferă informații despre cerere
Securitate. Scopul principal al Top 10 al OWASP este de a educa
https://translate.googleusercontent.com/translate_f 6/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 6
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 8
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
● cerere:
8, Autorul își păstrează drepturile
Linia de cerere de la client, inclusă în
ghilimele duble (").
Roger Meyer 7
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 9
https://translate.googleusercontent.com/translate_f 7/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Atacuri pe aplicații web Detectarea atacurilor pe aplicații web
Roger Meyer 8
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 10
și colab., 1999].
ource
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
8, Autorul își păstrează drepturile
Într-o cerere HTTP, clientul contactează serverul prin intermediul
rețea și trimite o solicitare formatată corespunzător care descrie ce
Roger Meyer 9
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 11
Clientul
protocol și versiune.
https://translate.googleusercontent.com/translate_f 9/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Accept: Tipuri de date și codificare
text / xml, application / xml, applica clientul poate gestiona (tipuri MIME).
tion / xhtml
+ xml, text / html; q = 0,9, text / simplu;
Pagina 12
Server-ul
software.
https://translate.googleusercontent.com/translate_f 10/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
"// W3C // DTD HTML 4.01 așteptat) este trimis.
Transitoriu // EN ">
...
Pagina 13
Primele evaziuni au fost la fel de simple ca adăugarea mai multor bare oblice
/admin/index.html
https://translate.googleusercontent.com/translate_f 11/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 12
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 14
echivalente)
5. Carcasă mixtă
10. Decodarea entităților HTML (de exemplu, & # 99 ;, & quot ;, & # xAA;)
Codificare hexagonală
Codificarea hexagonală este cea mai simplă modalitate de codificare a unei adrese URL. Aceasta
constă în scăparea unei valori de octet hexazecimal pentru codificat
caracter cu un „%”. Pentru a codifica litera C, care are un ASCII
valoare hexazecimală de 0x43, codificarea ar arăta astfel:
Roger Meyer 13
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 15
● GET /% 69% 6E% 64% 65% 78% 2E% 68% 74% 6D% 6C HTTP / 1.1
/ (java)? script / i
Roger Meyer 14
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 16
https://translate.googleusercontent.com/translate_f 13/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
4 Detectarea atacurilor
Roger Meyer 15
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 17
https://translate.googleusercontent.com/translate_f 14/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
UDP și ICMP și porturile sau tipurile / codurile corespunzătoare.
Firewall-urile pot detecta anomalii în protocoalele de care sunt conștiente
ca traficul IP fragmentat, dar în general nu sunt cele mai bune
loc pentru a detecta atacurile asupra stratului de aplicație. Jurnal firewall
fișierele nu conțin, de obicei, date de nivel de aplicație precum HTTP
date, doar informațiile de nivel 3 și 4, deci nu sunt foarte utile
în detectarea a ceea ce se întâmplă straturile superioare.
Server web
Roger Meyer 16
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 18
Un server web poate acționa, de asemenea, ca un paravan de protecție pentru aplicații web (a se vedea
secțiunea anterioară). Modulul Apache mod_security [Încălcare
Security, 2007] permite, de exemplu, să stabilească reguli detaliate pe HTTP
https://translate.googleusercontent.com/translate_f 15/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
(acces cu succes sau refuzat).
aplicatie web
introduce și poate înregistra informații legate de securitate într-un fișier jurnal. The
aplicația are acces la traseul complet al utilizatorului la fiecare pas al unui utilizator
preluați (conectarea, efectuarea unui transfer, deconectarea etc.). A
jurnalizarea cuprinzătoare la nivelul aplicației permite
Roger Meyer 17
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 19
Snort, cel mai puternic IDS open source, are peste 800 de reguli
(reguli ale comunității, lansat în 20070427) pentru detectarea unui web rău intenționat
trafic (peste 400 numai pentru PHP). Cu ajutorul preprocesoarelor
https://translate.googleusercontent.com/translate_f 16/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
trebuie depășite înainte ca ceva să poată fi detectat.
Pagina 20
Avantaje Dezavantaje
Fișiere jurnal datele sunt ușor disponibile jurnalele conțin de obicei numai
https://translate.googleusercontent.com/translate_f 17/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
costurile de procesare depășesc de obicei beneficiile lor. Colecția de
traficul de rețea necesită a) vizibilitatea pachetelor și b) de obicei
hardware suplimentar. Urmărirea traficului poate fi realizată cu hub-uri,
Porturi SPAN, robinete sau dispozitive inline. Toate aceste dispozitive trebuie să fie
Roger Meyer 19
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 21
https://translate.googleusercontent.com/translate_f 18/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Acest model este de obicei considerat cel mai ușor așa cum este
Roger Meyer 20
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 22
rău intenționat.
Roger Meyer 21
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 23
https://translate.googleusercontent.com/translate_f 19/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
fază, traficul bun este înregistrat ca „normal“. Este de cea mai mare
importanță, că acest trafic este „curat” și lipsit de atacuri, așa cum
aceasta va fi folosită ca bază de referință. De obicei, o simulare
mediul este folosit pentru astfel de teste. Scopul unei învățări
Acest capitol descrie modul în care poate fi OWASP Top Ten 2007
detectat. Detectarea se aplică numai datelor stocate pe web
fișiere jurnal aplicație. Acest set de date redus limitează detectarea
Atacurile de cross site scripting funcționează prin încorporarea etichetelor de script în
Adrese URL / solicitări HTTP și atragerea utilizatorilor care nu bănuiesc să facă clic
, asigurându-se că javascriptul rău intenționat este executat pe
Roger Meyer 22
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 24
https://translate.googleusercontent.com/translate_f 20/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
/ ((\% 3C) | <) ((\% 2F) | \ /) * [az09 \%] + ((\% 3E) |>) / ix
Explicaţie:
((\% 3C) | <) verificați dacă există unghiul de deschidere sau hexagonul
echivalent („3C”)
((\% 2F) | \ /) * linia directă pentru o etichetă de închidere sau hex
echivalent („2F”)
[az09 \%] + verificați dacă există șir alfanumeric în interiorul etichetei sau
reprezentarea hexagonală a acestora (suplimentar
procent caracter)
((\% 3E) |>) verificați dacă există unghiul de închidere sau hex
echivalent („3E”)
Bineînțeles, acest lucru va detecta orice etichetă XML / HTML, inclusiv orice etichetă
contribuția legitimă a utilizatorului, așa cum se întâmplă de obicei într-un forum pe Internet și
poate duce la multe falsuri pozitive.
Roger Meyer 23
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 25
● <img
src = & # 106 & # 97 & # 118 & # 97 & # 115 & # 99 & # 114 & # 105 & # 112 & # 116 & # 58 & # 97 & #
108 & # 101 & # 114 & # 116 & # 40 & # 39 & # 88 & # 83 & # 83 & # 39 & # 41> imaginea 3 </a>
# javascript: alert ('XSS')
https://translate.googleusercontent.com/translate_f 21/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
/ ((\% 3C) | <) ((\% 69) | i | (\% 49)) ((\% 6D) | m | (\% 4D)) ((\% 67) | g | ( \
% 47)) [^ \ n] + ((\% 3E) |>) / I
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Explicaţie:
8, Autorul își păstrează drepturile
(\% 3C) | <) consolă unghiulară de deschidere sau echivalent hexagonal („3C”)
(\% 69) | i | (\% 49)) literele „img” în diferite combinații de
((\% 6D) | m | (\% 4D)) ASCII, sau echivalente hex majuscule sau minuscule
((\% 67) | g | (\% 47)
[^ \ n] + orice alt caracter decât o nouă linie care urmează
„<img”
(\% 3E) |>) parantez unghiular de închidere sau echivalent hexagonal („3E”)
Etichete HTML:
Roger Meyer 24
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 26
Explicaţie:
https://translate.googleusercontent.com/translate_f 22/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Acest tip de injecții XSS sunt foarte greu de detectat.
Roger Meyer 25
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 27
Injecția de cod poate fi orice tip de cod, cum ar fi SQL, LDAP, XPath,
Injectarea comenzilor XSLT, HTML, XML și OS. XSS (vezi A1) este de fapt
un subset de injecție HTML. Aici ne concentrăm pe cel mai mult
injecție predominantă, injecția SQL. Pentru injecții SQL la
https://translate.googleusercontent.com/translate_f 23/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
munca, atacatorul trebuie să sară din instrucțiunea SQL originală.
Acest lucru se face, de obicei, prin singlequote (') sau doubledash
(). Citatul unic acționează ca un delimitator pentru o interogare SQL; the
doubledash este caracterul de comentariu din Oracle și MS SQL.
Roger Meyer 26
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 28
https://translate.googleusercontent.com/translate_f 24/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
POST /login.jsp ; jsessionid = HLQxtLQ13
Pagina 29
/ ((\% 3D) | (=)) [^ \ n] * ((\% 27) | (\ ') | (\\) | (\% 3B) | (;)) / i
Explicaţie:
((\% 3D) | (=)) Semnul egal ('=') sau versiunea sa codificată URL
[^ \ n] * zero sau mai multe caractere neliniare
((\% 27) | (\ ') | Citatul unic, dublul sau semi
(\\) | (\% 3B) | colon sau versiunile lor codificate URL
(;))
/ \ w * ((\% 27) | (\ ')) (\ s | \ + | \% 20) * ((\% 6F) | o | (\% 4F)) ((\% 72) | r | (\
% 52)) / ix
https://translate.googleusercontent.com/translate_f 25/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Pagina 30
Explicaţie:
Pe lângă cuvântul cheie „sau”, există un alt cuvânt cheie SQL care
este frecvent utilizat în atacuri - cuvântul cheie UNION. UNION este folosit pentru a
afirmație. Acest lucru permite unui atacator citit tabele diferite fata
una specificată în declarație de aplicație. Să ne extindem
regexul anterior cu câteva cuvinte cheie SQL mai interesante.
Explicaţie:
Roger Meyer 29
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 31
/ exec (\ s | \ +) + (s | x) p \ w + / ix
https://translate.googleusercontent.com/translate_f 26/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Explicaţie:
Alte defecte ale injecției, cum ar fi injecțiile de comandă ale sistemului de operare, sunt puțin
mai greu de detectat deoarece nu există nici un model predefinit
disponibil. Deși există câteva personaje speciale precum
simbolul țevii ('|') care este rar folosit într-o adresă URL:
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
/ (\ ||% 00 | system \ (| eval \ (| `| \\) / i
8, Autorul își păstrează drepturile
Explicaţie:
Roger Meyer 30
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 32
https://translate.googleusercontent.com/translate_f 27/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Provocare [Honeynet Project Scan 31, 2004]. Iată două
cereri de exemplu, detectate cu expresiile regulate de mai sus:
Roger Meyer 31
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 33
server-ul:
https://translate.googleusercontent.com/translate_f 28/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Explicaţie:
Roger Meyer 32
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 34
● adrese URL
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
● Cheile
8, Autorul își păstrează drepturile
bazei de date, cum ar fi acct_no, group_id etc.
Fișierele pot fi recunoscute după numele sau finalul lor. Mai ales
fișierele periculoase pot fi / etc / passwd, / etc / shadow sau cmd.exe.
Directoarele pot fi parcurse folosind atacul dotdotslash
(../), sau traversarea căii.
https://translate.googleusercontent.com/translate_f 29/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
/(\.|(%|%25)2E)(\.|(%|%25)2E)(\/|(%|%25)2F|\\|(%|%25)5C)/i
Explicaţie:
(\. | (% |% 25) 2E) Două puncte și echivalentele codate URL ale acestora,
(\. | (% |% 25) 2E) inclusiv codificarea hexagonală dublu procentuală.
Roger Meyer 33
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 35
% 2e% 2e / ../
..% 2f ../
% 2e% 2e \ .. \
..% 5c .. \
https://translate.googleusercontent.com/translate_f 30/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 34
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 36
Atacurile de falsificare a cererilor între site-uri sunt probabil cele mai multe
răspândiți atacul în aplicațiile web astăzi. Profită de unul
dintre cele mai elementare caracteristici HTML - link-ul. Orice proces cu un
https://www.example.com/transfer.php?amount=100&toAcct=12345
Roger Meyer 35
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
https://translate.googleusercontent.com/translate_f 31/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Pagina 37
Cum poate fi detectat acest lucru într-un fișier jurnal? O abordare ar fi
pentru
Amprentă cheie =a AF19
măsura diferența
FA27 înFDB5
2F94 998D timp DE3D
a solicitărilor
F8B5 06E4unui
8, Autorul își păstrează drepturile
A169utilizator.
4E46
Roger Meyer 36
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 38
Roger Meyer 37
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 39
pentru a detecta atacuri precum enumerarea numelui de utilizator sau o cantitate anormală
a cererilor de eroare. Iată o prezentare generală a codurilor de stare HTTP:
1XX Informativ
2XX De succes
3XX Redirecționare
https://translate.googleusercontent.com/translate_f 33/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 38
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 40
Exemple:
https://www.example.net/login?userid=bill&password=1234
https://www.exampl.net/doSomething?varA=123;jsessionid=1234
https://translate.googleusercontent.com/translate_f 34/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
identificabil:
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Explicaţie:
Roger Meyer 39
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 41
Amprentă cheie = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
% {SSL_PROTOCOL} x
8, Autorul își păstrează drepturile
versiunea protocolului
https://translate.googleusercontent.com/translate_f 35/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 40
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 42
Dacă serverul web acceptă doar conexiuni SSL prin port TCP
443 în primul rând, atunci ar trebui să se vadă doar criptat
conexiuni în fișierul jurnal. Este întotdeauna o idee bună de verificat
deşi.
https://translate.googleusercontent.com/translate_f 36/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Roger Meyer 41
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 43
5. Concluzie
detectare (reguli dinamice). Analiza jurnalului serverului web este bazată pe reguli
modul de detectare care se concentrează pe atacurile web vizibile
în fișierele de jurnal implicite ale serverului web, cum ar fi Apache sau IIS.
6 Referințe
Roger Meyer 42
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
https://translate.googleusercontent.com/translate_f 37/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Pagina 44
http://www.blackhat.com/presentations/bhusa04/bhus04
mookhey / old / bhus04mookhey_whitepaper.pdf
Revista SC, (2007). Aplicația web exploatează cea mai mare țintă de hacking
în 2007. http://www.securecomputing.net.au/print.aspx?CIID=72867
Roger Meyer 43
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
Pagina 45
http://www.owasp.org/index.php/OWASP_Top_Ten_Project
https://translate.googleusercontent.com/translate_f 38/39
13.10.2021, 21:55 WHITE PAPER Detectarea atacurilor asupra aplicațiilor web din fișierele jurnal
Server HTTP Apache, (2007). Formatul jurnalului combinat.
http://httpd.apache.org/docs/1.3/logs.html#combined
Roger Meyer 44
© Institutul SANS 2008, Ca parte a sălii de lectură privind securitatea informațiilor Autorul își păstrează drepturile depline.
@ 2021 Institutul SANS Autorul își păstrează drepturile depline
https://translate.googleusercontent.com/translate_f 39/39