提问人:user2580 提问时间:8/23/2008 更新时间:3/8/2014 访问量:463
如何处理 ScanAlert?
What to do about ScanAlert?
问:
我的一个客户使用 McAfee ScanAlert(即 HackerSafe)。它基本上每天有大约 1500 个不良请求访问该网站,以寻找安全漏洞。由于它展示了恶意行为,因此很容易在几个错误的请求后阻止它,但也许我应该让它练习 UI。如果我不让它完成,这是一个真正的测试吗?
答:
0赞
Michael Neale
8/23/2008
#1
如果它没有损害网站的性能,我认为这是一件好事。如果您在同一站点上有 1000 个客户端都这样做,是的,请阻止它。
但是,如果该网站是为该客户建立的,我认为他们这样做是公平的。
2赞
Sören Kuklau
8/23/2008
#2
让黑客将他们的武器库中的所有东西都扔到网站上,这不是网站的安全漏洞吗?
好吧,你应该专注于关闭漏洞,而不是试图阻止扫描仪(这是一场徒劳的战斗)。请考虑自己运行此类测试。
1赞
Michał Piaskowski
8/23/2008
#3
在几次试用后阻止错误的请求是件好事,但您应该让它继续。 如果您在 5 个错误请求后阻止它,您将不知道第 6 个请求是否会使您的网站崩溃。
编辑: 我的意思是,某些攻击者可能只发送一个请求,但类似于您因为阻止而未测试的 1495 之一,而这一个请求可能会破坏您的网站。
1赞
user2580
8/24/2008
#4
防止安全漏洞需要针对不同的攻击采取不同的策略。例如,在拒绝服务攻击期间阻止来自某些来源的流量并不罕见。如果用户未能提供正确的凭据超过 3 次,则 IP 地址将被阻止或帐户被锁定。
当 ScanAlert 发出数百个请求(可能包括 SQL 注入)时,它肯定符合站点代码应视为“恶意行为”的内容。
事实上,仅仅将UrlScan或eEye SecureIIS放在适当的位置可能会拒绝许多此类请求,但这是对站点代码的真正测试吗?站点代码的工作是检测恶意用户/请求并拒绝它们。测试在哪一层有效?
ScanAlert 以两种不同的方式呈现:格式错误的请求数和作为测试的每个单独请求的种类。似乎出现的两条建议如下:
- 站点代码不应尝试检测来自特定源的恶意流量并阻止该流量,因为这是徒劳的。
- 如果您确实尝试了这种徒劳的努力,请至少对来自 ScanAlert 的请求进行例外处理,以便测试较低层。
评论