1. Inicio
  2. Pregunta y respuesta
  3. Ataque de sitio web ASP.NET: ¿cómo responder?

Ataque de sitio web ASP.NET: ¿cómo responder?

2009-06-17 40 views
6

Esta es la primera vez que me he encontrado con alguien que intenta penetrar en un sitio web que he creado. ¿Qué puedo hacer para detener los intentos?Ataque de sitio web ASP.NET: ¿cómo responder?

Como nota al margen, su inyección sql no tiene ninguna posibilidad de funcionar alguna vez y no hay ningún dato que tengamos que no esté ya disponible para cualquiera que use este sitio normalmente.

adjuntos: La

Creo que la parte de código está cubierto para la mayoría XSS e inyección SQL, pero definitivamente estoy considerando la posibilidad de una auditoría de seguridad. Solo tenía curiosidad por la respuesta. ¿Realmente solo estoy limitado a bloquear direcciones IP?

Fuente

2009-06-17 CountCet

+0

¿Está preguntando cómo hacer que el sitio sea más seguro a través del código? De ser así, aclare su pregunta. Si hace una pregunta sobre la administración, sugiero que esto pertenezca a ServerFault.com. Voy a votar para moverlo allí ahora. –

+0

Si está seguro de que en realidad no pueden ser una amenaza ... ¿quizás lo deje y continúe observando los problemas reales? –

+0

He actualizado la pregunta para ser más útil. – CountCet

Respuesta

3

A menos que este sea su primer sitio web público, todos los sitios web en los que ha trabajado fueron atacados aproximadamente 3 minutos para ser accesibles, lo supiera o no.

Un par de cosas que usted puede empezar a hacer son:

  1. empezará a bloquear las IPs que los ataques están viniendo. Esto no siempre es factible ya que las direcciones IP cambian con frecuencia y algunos tipos de ataques pueden funcionar con una dirección falsa.

  2. Ponga un intrusion detection system (IDS) en su lugar y comience a monitorear todo.

  3. Verifique que los firewalls funcionen correctamente y controle los vectores de ataque. Asegúrate de que todo lo que persiguen esté bastante bien protegido.

Fuente

2009-06-17 13:58:23 NotMe

+0

Hay grandes grupos de personas que constantemente escanean direcciones IP de escaneo. Si su máquina responde en un puerto (como 80, por ejemplo), su dirección se registrará para ataques automáticos. Esto es un hecho, búscalo. Como nota al margen, creo que el tiempo promedio para que un servidor no parcheado/no seguro se agriete, contando desde el momento en que se conecta a Internet, es de aproximadamente 2 minutos. – NotMe

+0

Corrección, en 2004 se registró a los 4 minutos. http://dic.academic.ru/dic.nsf/enwiki/11416. Esta es la razón por la cual Vista y Windows Server 2008 realizan las funciones iniciales con la red deshabilitada; para darle tiempo de parchearlos antes de que llegue el diluvio. – NotMe

+0

El bloqueo de direcciones IP individuales es poco probable que sea de mucha utilidad dado el enfoque zombie moderno, pero podría ocasionalmente darle un 80/20. – annakata

1

¿Hay muchas fuentes o solo unas pocas IP? Hemos tenido algunas IPs que hacen cosas oscuras y hemos usado IIS para bloquearlas específicamente. Si se trata de un ataque coordinado de múltiples fuentes, esto no ayudará.

Fuente

2009-06-17 13:57:25 n8wrl

4

Si ya está protegido contra las inyecciones de SQL, tiene un ataque importante cubierto. La siguiente gran amenaza (en mi opinión) sería Cross-Site Scripting (XSS), ya que permitiría a un atacante que otro usuario haga algo malicioso, lo que dificultaría el seguimiento de esa actividad.

También debe tener en cuenta las falsificaciones de solicitudes entre sitios (CSRF), ya que es una que mucha gente parece perder muchas veces.

Me gustaría echar un vistazo a OWASP's Top 10 Web Security Vulnerabilities y me aseguro de proteger contra los 10 de la mejor manera posible. Cualquiera de ellos podría abrirse en serio a los atacantes si no tiene cuidado.

Fuente

2009-06-17 13:59:19

2

Esta respuesta viene de otro que le contesté acerca de IIS ser atacado:

suerte que ha tenido sus archivos de registro de IIS encendidos y es de esperar que el hacker no borrarlas. Por defecto son que se encuentran aquí: c: \ winnt \ system32 \ LogFiles \ W3SVC1 y generalmente se nombrarán después de la fecha .

Entonces, probablemente sea útil saber cómo usar el analizador de registros (desde Microsoft), que es gratis. Luego, use this guide para ayudarlo con mirando de manera forense a sus archivos de registro. Tiene un firewall porque es syslogs puede ser útil.

Otra herramienta decente para ayudarlo a encontrar problemas de inyección sql es ir here y descargar HP's Scrawlr.

Si tiene más preguntas sobre lo que ha encontrado, vuelva y pregunte.

Fuente

2009-06-17 14:06:55 GregD

Cuestiones relacionadas

 Cuestiones relacionadas