我目前正在尝试实施OWASP AppSensor 项目的一些建议,并且我想在攻击者试图闯入我的网站时做出回应。
是否有任何资源覆盖/分析特定的攻击媒介?具体而言,我的意思是规则列表:当用户尝试将'字符写入用户名字段时,这绝对是一次攻击尝试(不是,但' or 'x'=x'可能是)。
我的主要目标是有效地记录和响应攻击尝试,并尽可能避免误报(系统禁止合法用户永远不会发生)。我们在这里讨论的可能主要是SQL injection,XSS也许Request threshold(1 秒内 50 个请求是可疑的——真的吗?)。如果您认为我也应该对另一种类型的动作做出回应,请随时提出建议并写下我为什么应该专注于这种类型的动作的理由。
在大多数情况下,具有有效过滤/消毒手段的强大 Web 应用程序就足够了。你试图解决的问题很难满足。我一遍又一遍地重复-不要重新发明轮子,因为您很有可能只是浪费时间而对安全性没有影响。例如,看看 PHP-IDS 是如何编写的,它是如何工作的,它包含哪些规则。另外,您对这些 SQL 注入规避技术有何看法:http ://websec.wordpress.com/2010/12/04/sqli-filter-evasion-cheat-sheet-mysql/ - 您将如何处理它们?或者关于 XSS - http://heideri.ch/jso/。如您所见,您想要覆盖的攻击越多 - 获得误报的机会就越多。
我并不是说这是不可能的,也不值得修修补补,但我们走得更远,我们会更清楚地看到攻击变得越来越复杂。首先看看你的问题之前是否没有解决过,是否真的值得你关注。
基本上你正在编写一个分类器。
如果您真的想走这条路,您可能应该查看贝叶斯垃圾邮件过滤和Paul Graham 的论文,因为它与确定哪些输入是恶意的(垃圾邮件)和哪些是有效的用户(火腿)有关。Tim Peter 对 Paul Graham 方法的解释非常具有可读性。
这些天我不知道最先进的IDS,但呼应Ams,你可能不想发明自己的ID,除非你真的有兴趣学习这个领域。