我的一个客户使用McAfee ScanAlert(即HackerSafe)。 它基本上每天都有大约1500个不良请求在寻找安全漏洞。 由于它表现出恶意行为,因此在几次不良请求之后阻止它是很诱人的,但也许我应该让它运用UI。 如果我不让它完成,这是一个真正的考验吗?

===============>>#1 票数:2 已采纳

是不是网站的安全漏洞让黑客在网站上扔掉了所有东西?

那么,你应该专注于关闭洞,而不是试图阻止扫描仪(这是徒劳的战斗)。 考虑自己运行这样的测试。

===============>>#2 票数:1

在几次试验后阻止不良请求是件好事,但你应该让它继续下去。 如果您在5次不良请求后阻止它,您将不知道第6次请求是否会导致您的网站崩溃。

编辑:我的意思是,一些攻击者可能只发送一个请求,但类似于你没有测试的1495中的一个请求,因为你阻止了。这一个请求可能会摧毁你的网站。

===============>>#3 票数:1

防止安全漏洞需要针对​​不同攻击的不同策略。 例如,在拒绝服务攻击期间阻止某些来源的流量并不罕见。 如果用户未能提供超过3次的正确凭据,则IP地址被阻止或帐户被锁定。

当ScanAlert发出数百个可能包含SQL注入的请求时 - 命名一个 - 它肯定会匹配站点代码应该考虑的“恶意行为”。

实际上,仅仅放置UrlScan或eEye SecureIIS可能会拒绝许多此类请求,但这是对站点代码的真正测试。 站点代码的工作是检测恶意用户/请求并拒绝它们。 测试的哪一层有效?

ScanAlert以两种不同的方式呈现:不正确的请求数量以及作为测试的每个单独请求的种类。 似乎出现的两条建议如下:

  1. 站点代码不应该尝试检测来自特定源的恶意流量并阻止该流量,因为这是徒劳的努力。
  2. 如果您确实尝试了这样的徒劳,那么至少要对ScanAlert的请求进行例外处理以测试较低层。

===============>>#4 票数:0

如果它没有损害网站的性能,我认为这是一件好事。 如果你有1000个客户到同一个网站都这样做,是的,阻止它。

但如果该网站是为该客户构建的,我认为他们这样做是公平的。

  ask by user2580 translate from so

未解决问题?本站智能推荐:

2回复

删除未使用的HTTP处理程序以获得更好的性能和安全性

我在哪里可以获得所有默认IIS HTTP处理程序的列表? 我需要文件!! 我已经阅读了一些博客,建议删除数十个未使用的HTTP处理程序,以提高性能和安全性。 例如,建议删除TraceHandler-Integrated和TraceHandler-Integrated-4.0,否则导航到
1回复

从Web应用程序运行批处理文件有任何不利之处吗?

在我的Web应用程序(ASP.NET/C#)中,我需要创建一个按钮,单击该按钮即可运行本地批处理文件(例如,在“ C:/ program files / batch.bch”中)。 该批处理运行一个Shell应用程序,该应用程序安装在我们Intranet的每台客户端计算机上。 从We
1回复

处理phpMyAdmin的用户

嗨stackoverflow社区, 我对如何在phpMyAdmin中管理用户有一些疑问,我正在启动一个项目,但是我看到有多个具有ALL PRIVILEGES的用户。 我应该选择一个用户,设置密码,然后删除其他用户? 有多个拥有所有特权且没有任何密码的用户会带来安全隐患吗?
4回复

处理表格安全

那么,如何维护有关将数据发布到不同页面的表单安全性呢? 例如,您有一个成员,而他/她尝试更改个人设置,然后您将该成员重定向到 www.domain.com/member/change/member_id 成员更改了值,并通过使用Firebug或其他方法更改了操作,将数据发布到
1回复

Websphere异常处理

从安全角度来看,使用Websphere处理应用程序错误的最佳解决方案是什么? 我一直在考虑创建一个每次生成应用程序错误时都会调用的类,记录该错误并向用户显示一般错误消息。 在PHP中,可以使用set_exception_handler()函数来实现。 websphere是否可以在w
3回复

处理加密异常

在Java中处理加密\\解密时,这个非常基本的代码段很常见。 仅这三行,可能会抛出六个异常,我不确定处理它们的最干净(在代码可读性方面)是什么。 尝试六个catch子句对我来说真的很像气味。 在使用这些物体时,是否有微图案或最佳实践,我显然不知道? 编辑 对不起,我想
1回复

用户权限处理

这是有关网站用户权限的最佳实践问题。 如果用户无权在页面上执行某些操作,则最好A.在呈现和隐藏​​按钮之前进行那些安全检查B.继续渲染按钮并在用户单击按钮时进行安全检查,如果他们没有权限,请通知他们。 我倾向于B有几个原因。 这些原因中的两个是更快的初始加载时间,并且对于用户来说也更清
1回复

处理JWT和刷新令牌流

我正在构建一个内置的反应,可以访问我正在构建的多个微服务apis。 对于auth,我已经构建了一个jwt登录系统,但是想知道处理刷新令牌的过程是什么。 jwt中的刷新令牌是否带有用户信息,或者它是否在自己的令牌中,具有不同的加密以提供额外的保护? 如果它是自己的令牌,那么如果
3回复

如何处理应用程序中的授权?

我已经完成了ASP.NET 3.5 Web应用程序的身份验证部分。 我想进一步了解常见的授权模式。 我可以介绍一下我当前的授权结构: 我有一个带有“模块”和“操作”表的数据库。 模块代表应用程序中的系统,而操作代表人们能够在系统内执行的动作。 客户,订单,开票将被定义为模块
2回复

从Firefox执行批处理脚本

我编写了一个Intranet应用程序,您可以通过单击RDP按钮直接从中连接到虚拟机。 单击将调用.bat文件,这将打开连接。 使用IE,这没有问题,因为您可以选择直接执行批处理文件。 但是使用Firefox,我只能下载脚本,然后必须手动启动它。 有没有办法信任Intranet域(ab