8 نکته مهم در تحلیل حملات تحت وب از طریق لاگ
تحليل حملات تحت وب از طريق لاگ، دارای چند نکته می باشد که به آنها می پردازیم:
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
- بسته هاي وب ، به صورت requestو response هستند. بدين معني كه شما درخواستي به وب سرور مي دهيد و بعد جواب ان براي شما ارسال مي شود. به همين دليل , برخي signature هاي waf براي شناسايي حملات در request هستند و برخي براي response. به طور مثال LFI در request شناسايي مي شود و directory listing در response
- هميشه در تحليل request حتما جواب را هم ببنيد و بلعکس
- در بسياري از موارد براي ديدن كامل جواب ارسال شده از سمت وب سرور نياز است تا packet level تحليل انجام شود. به طور مثال ، در صورتي كه حمله sql injection انجام شود،براي ديدن اينكه چه اطلاعاتي از سمت ديتابيس در ازاي query ارسال و در صفحه نمايش داده شده است نياز به pcap مي باشد.
- پروتكل http يك پروتكل stateless مي باشد. اين بدان معناست كه در خود بسته هاي ارسال و دريافتي ارتباط آنها مشخص نمي شود. به همين دليل ، در بسياري از موارد بايستي از اطلاعات IPو TCP استفاده شود. البته استفاده از session id هم مفيد خواهد بود.
- همواره شناخت درستي از زبان هاي برنامه نويسي، تكنولوژي ها و ديتابيس ها مورد استفاده خود داشته باشيد تا بتوانيد false positive را شناسايي كنيد.
- اناليزگر بايستي رفتار نرم افزار هاي اسكنر را بشناسد و سريع آنها را فيلتر كند.
- اناليز رفتار ترافيك شبكه اي مي تواند تحليلي از تست توسط ابزار يا تست دستي را مشخص نماید.
- و در انتها شما براي تحليل حملات وب ، می بایستی حتما حملات تحت وب را بشناسید.