資安論壇

行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 http://forum.icst.org.tw/
現在的時間是 2012年 10月 22日, 00:49

檢視沒有回覆的主題 | 檢視最近討論的主題


討論區首頁 » 資安工具, 系統討論區 » 鑑識(Forensics)討論版

所有顯示的時間為 UTC + 8 小時




發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 12 篇文章 ] 
  列印模式 上一個主題 | 下一個主題 
發表人 內容
j_liu
文章發表於 : 2005年 10月 5日, 12:08 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
一般web server都log http GET之類的event.
但是有很多attacks都是用http POST指令做的.
而web server卻不log POST之資訊!!

請問比較好的解決之道為何?

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 5日, 18:22 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
個人覺得, 請 Programmer 寫 Validate Function 的 Module 是不錯的作法,將異常(可疑)的 POST Data 直接 Log 或 Notify 給 Server Management Engineer.

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 5日, 21:42 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
好建議.

但有沒有比較快可以達成的方法呢?

WebApp firewall當然也是solution.
不過若有免費的解決方案, 就不需多花錢嘛 :wink:

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 11日, 15:05 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
j_liu 兄可以分享您的作法嗎? :wink:

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 11日, 21:10 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
最近在test用regex加客製化ids signatures.
如果準確度夠高, false positive夠低, 那就是一項省錢的solution了.
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 12日, 13:15 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
j_liu 寫:
最近在test用regex加客製化ids signatures.
如果準確度夠高, false positive夠低, 那就是一項省錢的solution了.


請問您使用的 IDS Engine 是 Snort 嗎?
他的 Instrusion Detect Rules 不是應該足夠使用.
還是j_liu 兄特別客製化一個 Lightweight IDS 特別針對 Web 使用呢?

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 15日, 23:17 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
我是Snort的忠實user.
:!: Snort提供的rules是不含web application attack signatures的. (it's empty)

寫新的signatures不難.
要讓signatures精確又沒有太多誤判還滿難的.

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 16日, 17:27 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
j_liu 寫:
我是Snort的忠實user.
:!: Snort提供的rules是不含web application attack signatures的. (it's empty)


請教關於 Snort Rules 中 Web-client 以及 Web-cgi 兩個 catalog 是針對哪些 Attack 的 Signatures 呢?

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 16日, 20:32 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
.SM. 寫:
請教關於 Snort Rules 中 Web-client 以及 Web-cgi 兩個 catalog 是針對哪些 Attack 的 Signatures 呢?


那些是有固定pattern的攻擊特徵.
我要偵測的是像SQL injection及XSS較無固定pattern的攻擊.

前一陣子架了最新版的snort及rules.
然後測了幾項簡單的SQL injection及XSS, snort很安靜的沒有回報任何alarm.

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 16日, 23:55 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
嗯, 回歸原問題一下.
j_liu 兄認為對鑑識有幫助的話,應該是將 POST Log 全部記下,還是只針對可疑的 POST 才 Log 呢?

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 17日, 13:11 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
我比較主張log everything.
如果能記錄所有POST所傳回來得payload當然是好事.
但不見得是cost-effective的做法. 分析也會較費時.

基於defense-in-depth的觀念:
:arrow: log everything for forensics if bad things happened. (ex: server log)
:arrow: detect possible attacks in real time to reduce risks. (ex: IDS/IPS)

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2005年 10月 17日, 13:27 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
j_liu 寫:
我比較主張log everything.
如果能記錄所有POST所傳回來得payload當然是好事.
但不見得是cost-effective的做法. 分析也會較費時.

基於defense-in-depth的觀念:
:arrow: log everything for forensics if bad things happened. (ex: server log)
:arrow: detect possible attacks in real time to reduce risks. (ex: IDS/IPS)


嗯, 我很認同您的看法.
所以您最初的討論主題, 使用 firewall or packet filter 來 log POST data 應該是比較好的 solution 是吧?

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
顯示文章 :  排序  
發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 12 篇文章 ] 

討論區首頁 » 資安工具, 系統討論區 » 鑑識(Forensics)討論版

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章

搜尋:
前往 :  
POWERED_BY
正體中文語系由 竹貓星球 維護製作