通过查看我们的DB's错误日志,我们发现几乎成功的SQL注入攻击不断涌现。一些快速编码避免了这种情况,但我怎么能为数据库和Web服务器(包括POST请求)设置一个监视器来检查这个?我的意思是,如果有现成的脚本小子工具,是否有现成的工具可以提醒您他们对您网站的突然随机兴趣?
答案 0 :(得分:5)
有趣的是,Scott Hanselman今天有一个post on UrlScan这是你可以做的一件事,可以帮助监控和减少潜在的威胁。这是一个非常有趣的阅读。
答案 1 :(得分:2)
UrlScan似乎是一个不错的选择;我还发现:dotDefender付费也包括Apache或IIS 5-7,我找到了SQL Injection sanitation ISAPI
鉴于最近广泛传播的SQL注入尝试不允许您的webapp的db用户帐户查询系统表(在MS SQL Server中它的sysobjects和syscolumns)是一个好主意,这也值得注意。
我认为这个线程需要为Apache和其他Web服务器提供更多免费解决方案。
不幸的是,入侵检测不是我想到的,所以sgfree并不是一个网站攻击监视器,除非我不理解它是如何工作的。
答案 2 :(得分:2)
如果您可以返回并修改您的应用代码,我建议将log4j / log4net集成到应用程序中。从那里你可以编写代码来检查表单字段或URL(例如在.NET应用程序的global.asax级别),并在检测到恶意代码时创建日志条目。
关于log4j / log4net的好处是你可以配置一个电子邮件/寻呼机/短信类型的appender,一旦发现恶意企图,你就会收到通知。
我正在将一些log4net代码合并到我们的CMS系统中,并且我正在寻找这样做,因为ASPRox攻击正在涌现。
答案 3 :(得分:0)
监控网络和数据库访问日志应该提醒您这样的事情,但如果您想要一个功能更全面的警报系统,我建议使用某种IDS / IPS。你需要一台备用机器和一台可以进行端口镜像的交换机。 如果你有那些,那么IDS是一种廉价的方式来监控你的流量进行多次入侵尝试(会有很多)。基于IDS的Snort(www.snort.org)非常出色,并且有一些免费的完全打包版本可用。我使用的是StrataGuard(http://sgfree.stillsecure.com/),它可以配置为IDS(入侵检测系统)或IPS(入侵防御系统)。如果您的流量不超过5Mbps,则可以免费使用。 如果您使用IDS / IPS,我建议您在允许它作为一个简单的IDS运行一个月左右,然后再允许它防止攻击。
这可能有点矫枉过正,但是如果你有一台备用机器,那么让IDS被动地运行就不会有什么坏处。
答案 4 :(得分:0)
您可以设置系统以发出一些错误消息,然后对系统进行JSON或http调用,以监控,报告(记录)并发送任何类型的警报,例如短信/电子邮件或电话。
查看developer.alertcaster.com
特别是如果您需要监控多个同时发生的事件,这听起来就像您一样,这可能是一个很好的解决方案。