我想问一下我们中间的主动(或偏执;):你在寻找什么,以及如何?
我主要考虑的是可以通过编程方式观看的内容,而不是手动检查日志。
例如:
只是想知道大多数人会认为什么是实用和有效的。
预防性的东西(如用户输入卫生设施)当然是至关重要的,但在这个问题的情况下,我更感兴趣的是检测潜在的威胁。在这种情况下,我对防盗报警感兴趣,而不是锁。
我所谈论的那种事情的一个例子就在这里。如果你在很短的时间内对一个问题进行了太多的修改,它会带来一个验证码,以确保你不是一个机器人。
答案 0 :(得分:3)
三个指针:
记住它,记住它很好。
答案 1 :(得分:2)
您可以查看统计异常情况。例如,保持最后一天每小时登录失败百分比的运行平均值。如果这个百分比突然变成,例如,大三倍,你可能会看到密码破解尝试。
没有办法告诉前面这种算法的正确参数是什么。我会说你开始让他们过于敏感,然后调低它们直到误报的数量变得可以接受。
答案 2 :(得分:1)
在将其发送到Web应用程序之前查找恶意http请求的应用程序称为Web Application Firewall。大多数WAF可以配置为在检测到攻击时发送电子邮件,因此您有“防盗警报”。 WAF在到达您的Web应用程序之前更有用,可以防止攻击,这更像是一个砖墙,当您触摸它时会生气。
答案 3 :(得分:0)
了解您是否会看到应用程序出现问题的最佳方法是主动自行识别问题。首先从威胁模型开始。威胁模型对于在攻击者发现之前发现潜在问题至关重要。
以下是我要了解应用程序威胁前景的步骤: - 首先确定应用程序中的所有进程(即身份验证,事务处理等) - 其次,数据流动是最高和最关键的过程。对我来说,数据流图是视觉查看潜在攻击来源的最大帮助。 - 第三,分析您的流程。为此,我推荐一种类似Microsoft的Threat Modeling工具的工具。它很擅长强迫你查看所有可能的攻击向量。 - 第四,制定计划来解决你找到的问题。
这个过程非常有用,因为开发应用程序的人比攻击者更了解如何找到漏洞。