Webサイトへの攻撃の試みを検出しますか？

Question

私は現在 OWASP AppSensor Project からいくつかの推奨事項を実装しようとしています。攻撃者が私のWebサイトに侵入しようとしたときに応答したいと思います。

特定の攻撃ベクトルをカバー/分析するリソースはありますか？ specificとは、ルールのリストのようなものを意味します：ユーザーが'文字をユーザー名フィールドに入力します。これは間違いなく攻撃の試みです（そうではありませんが、' or 'x'=x'おそらくです）。

私の主な目標は、攻撃の試みを効果的にログに記録して対応し、誤検知を可能な限り回避することです（システムが法的ユーザーを禁止することは決してないはずです）。ここではおそらくSQL injection、XSSそして多分Request threshold（1秒間に50リクエストのようなものは疑わしい-それは本当に？）私も別のタイプのアクションに対応する必要があると思われる場合は、遠慮なく提案して、このタイプのアクションに焦点を当てるべき理由を書いてください。

anonymous · Accepted Answer

ほとんどの場合、有効なろ過/消毒の手段で堅牢なWebアプリケーションで十分です。解決しようとしている問題を解決するのは非常に困難です。私は何度も繰り返しています。ホイールを作り直さないでください。セキュリティに影響を与えずに時間を浪費する可能性が高いからです。たとえば、PHP-IDSがどのように記述され、どのように機能し、どのルールが含まれているのかを確認してください。また、これらのSQLインジェクション回避手法についてはどう思いますか： http://websec.wordpress.com/2010/12/04/sqli-filter-evasion-cheat-sheet-mysql/ -それらをどのように扱いますか？またはXSSについて- http://heideri.ch/jso/ 。ご覧のように、カバーする攻撃の数が増えるほど、誤検知が発生する可能性が高くなります。

それは不可能であり、いじくり回す価値がないと言っているわけではありませんが、さらに進むと、攻撃がますます複雑になることがわかります。最初に、問題が以前に解決されていないかどうか、そしてそれが本当に注目に値するかどうかを調べます。

Bradley Kreider · Answer

基本的に、あなたは classifier を書いています。

本当にこのルートを使いたい場合は、おそらくベイジアンスパムフィルタリングと Paul Graham's Essay をチェックする必要があります。これは、どの入力が悪意のある（スパム）および有効なユーザー（ハム）です。 Tim Peterの説明 Paul Grahamの方法は非常に読みやすいです。

最近のIDSについては最近はわかりませんが、Amsと同じように、この分野の学習に本当に興味がない限り、おそらく独自のIDを作成したくありません。