【问题标题】:how to prevent vulnerability scanning如何防止漏洞扫描
【发布时间】:2013-03-07 13:32:43
【问题描述】:

我有一个网站,它会在我的电子邮件中报告每个非预期的服务器端错误。

经常(每 1-2 周一次)有人会启动自动化工具,用大量不同的 URL 轰炸网站:

  • 有时他们(黑客?)认为我的网站托管在 phpmyadmin 内部,他们试图访问易受攻击的(我相信)php 页面...
  • 有时他们会尝试访问确实不存在但属于流行 CMS 的页面
  • 上次他们尝试注入错误的 ViewState...

显然不是搜索引擎蜘蛛,因为 100% 产生错误的请求都是对无效页面的请求。

目前他们并没有造成太大的伤害,唯一的问题是我需要删除大量服务器错误电子邮件(200-300 封)......但在某些时候他们可能会找到一些东西。

我真的厌倦了,正在寻找能够阻止这种“蜘蛛”的解决方案。

有什么可以使用的吗?任何工具、dll 等...或者我应该自己实现一些东西?

在第二种情况下:您能否推荐实施方法?我是否应该限制每秒来自 IP 的请求数量(比如说每秒不超过 5 个请求,每分钟不超过 20 个)?

附:现在我的网站是使用 ASP.NET 4.0 编写的。

【问题讨论】:

  • 我已经编辑了你的标题。请参阅“Should questions include “tags” in their titles?”,其中的共识是“不,他们不应该”。
  • 顺便说一句,也许您不应该为每个错误都发送电子邮件。将它们记录在您可以看到的地方,并可能通过电子邮件发送错误摘要。
  • 我想过这一点,但这将有助于我仅在我的最终目标是防止漏洞扫描时删除类似的电子邮件。
  • 您无法控制谁向您的服务器发出请求 - 您只能控制哪些请求成功。

标签: asp.net security web-crawler error-reporting


【解决方案1】:

如果您只是保持服务器和软件的更新,此类机器人不太可能在您的系统中发现任何漏洞。他们通常只是在寻找唾手可得的果实,即未更新以修复已知漏洞的系统。

您可以制作一个机器人陷阱来最大程度地减少此类流量。一旦有人尝试访问您知道的那些不存在的页面之一,您就可以暂时停止来自该 IP 地址的所有使用相同浏览器字符串的请求。

【讨论】:

  • 他的浏览器字符串是 Mozilla/4.0(或类似的东西),所以我无法真正按此标准阻止。而且我确实通过 IP 阻止了此类扫描仪。我的第一个想法是他们只会更改他们的代理并继续,但看起来情况并非如此:通过 IP 阻止每个这样的扫描仪确实会阻止他们重复扫描 :) 但这更多是一种反应,而不是预防。我同意你的观点,他们找到安全整体的可能性很低……但我最好采取一些行动,而不仅仅是交叉手指:)
  • @Budda:我的意思是你应该在块中使用 IP 地址和浏览器字符串的组合。多个用户可以使用相同的 IP 地址,当然也可以使用相同的浏览器,但是将它们结合使用可以最大限度地降低阻止无辜者的风险。尤其是许多此类脚本使用库并且不更改默认字符串,因此它们与任何真实用户都不相同。
【解决方案2】:

您可以考虑几件事...

您可以使用其中一种可用的 Web 应用程序防火墙。它通常具有确定可疑活动并做出相应反应的规则和分析引擎。例如,在您的情况下,它可以自动阻止扫描您的网站的尝试,因为它会将其识别为攻击模式。

更简单(但不是 100% 解决方案)的方法是检查引荐来源网址(wiki 中的引荐来源网址描述),如果请求不是来自您的某个页面,则您拒绝它(您可能应该为此创建 httpmodule)。

当然,您希望确保您的站点解决了 OWASP TOP 10 列表 (OWASP TOP 10) 中的所有已知安全问题。您可以在此处 (owasp top 10 for .net book in pdf) 找到非常全面的关于如何为 asp.net 执行此操作的说明,我还建议阅读上述书籍作者的博客:http://www.troyhunt.com/

【讨论】:

  • 谢谢,这看起来是一个很好的参考。会经历的。
  • 客户端可以轻松更改引荐来源网址。它根本不应该被信任。
  • @Freedom_Ben 这就是为什么我说这不是 100% 的解决方案。但是您必须以任何方式实施它,因为它以任何方式带来额外的防御,如果您的网站将进行渗透测试,您将在渗透测试报告中获得反馈,表明如果您没有这样做,您必须这样做。所以是的,不是 100%,但你已经实现了。
【解决方案3】:

您无能为力(可靠地)防止漏洞扫描,唯一真正要做的就是确保您掌握所有漏洞并防止漏洞扫描 strong>漏洞利用

如果您的网站仅被少数人使用且位置固定,您可能会使用 IP 限制

【讨论】:

  • 网站是公开的,每个人都应该可以访问,所以我不能被IP限制。无论如何,谢谢你的想法。
猜你喜欢
  • 2023-04-02
  • 2022-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2012-06-08
  • 2018-12-21
  • 2013-02-16
相关资源
最近更新 更多