Атака веб-сайта ASP.NET: как реагировать?

Это первый раз, когда я столкнулся с тем, кто пытается проникнуть на созданный мной веб-сайт. Что я могу сделать, чтобы остановить попытки?

В качестве побочного примечания, их SQL-инъекция не имеет никаких шансов когда-либо работать, и нет никаких данных, которые у нас есть, которые еще не доступны никому, использующим этот сайт.

Добавив:

Я думаю, что часть кода покрыта для большинства XSS и SQL-инъекций, но я определенно рассматриваю аудит безопасности. Мне просто было интересно узнать ответ. Действительно ли я ограничиваюсь только блокированием IP-адресов?

asp.net,security,

6

Ответов: 4


3 принят

Если это ваш первый общедоступный веб-сайт, все веб-сайты, над которыми вы работали, были атакованы примерно на 3 минуты, чтобы быть доступными независимо от того, знали вы это или нет.

Несколько вещей, которые вы можете начать делать:

  1. Начните блокировать IP-адреса, из которых происходят атаки. Это не всегда возможно, поскольку IP-адреса часто меняются, а некоторые типы атак могут работать с поддельным адресом.

  2. Поместите систему обнаружения вторжений (IDS) на место и начните контролировать все.

  3. Убедитесь, что ваши брандмауэры работают правильно и контролируют векторы атаки. Удостоверьтесь, что все, что они делают, довольно хорошо обеспечено.


4

Если вы уже защищены от SQL-инъекций, у вас есть серьезная атака. Следующей самой большой угрозой (на мой взгляд) будет Cross-Site Scripting (XSS), поскольку это позволит злоумышленнику заставить другого пользователя сделать что-то злонамеренное, что затрудняет отслеживание этой активности.

Вы также должны знать о кросс-сайтовом подделке (CSRF), поскольку это тот факт, что многие люди, похоже, много раз промахиваются.

Я бы посмотрел на 10 лучших уязвимостей OWASP и обеспечил защиту от всех 10 из них как можно лучше. Любой из них может серьезно открыть себя нападающим, если вы не будете осторожны.


2

Этот ответ исходит из другого, что я ответил о том, что IIS взломали:

Надеюсь, вы включили лог-файлы IIS и, надеюсь, хакер не удалил их. По умолчанию они расположены здесь: c: winnt system32 LogFiles W3SVC1 и, как правило, будут называться после даты.

Тогда, вероятно, полезно выяснить, как использовать парсер журнала (из Microsoft), который является бесплатным. Затем используйте это руководство, чтобы помочь вам с поиском в ваших журнальных файлах. У вас есть межсетевой экран, потому что это syslogs может быть полезным.

Еще один достойный инструмент, который поможет вам найти проблемы с внедрением SQL- запросов, - это перейти сюда и загрузить Scrawlr HP.

Если у вас есть еще вопросы о том, что вы нашли, вернитесь и спросите.


1

Много ли источников или нескольких IP-адресов? У нас было несколько IP-адресов, которые делали теневые вещи и использовали IIS для их блокировки. Если это скоординированная атака из нескольких источников, это не поможет.

asp.net, безопасность,
Похожие вопросы
Яндекс.Метрика