Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Новый взгляд на обнаружение и предотвращение web-атак
 
Обсуждение статьи Новый взгляд на обнаружение и предотвращение web-атак
 
Насколько я понял, здесь описана схема MAC (Message Authentication Code).
Из статьи совершенно непонятно, что именно нового предлагается ?
Какая-то хитрая схема формирования MAC на клиентской стороне ?
Тогда она совершенно не объяснена ... :-(
Как в MAC входят выбранные или введенные КЛИЕНТОМ значения параметров (например, строковые) ? - ведь атаки будут формироваться именно в них
Кто выполняет шифрование на клиенте ?
 
В теории все это, конечно, выглядит красиво, а на практике - довольно много граблей в реализации сайта под различные браузеры, а не "IE4 800x600 only".

Т.е., если к нам ходит "определенный контингент" - то тут лучше (надежнее и дешевле) защищаться ssl и авторизацией клиента ключами, а если нам важен широкий охват аудитории - то такие способы шаманской защиты все равно будут отвергнуты заказчиками.
 
Цитата
Автор: Любое состояние однозначно определяется запросом к серверу, следовательно, в орграфе нет смежных ребер, и он является деревом.
Не любое состояние однозначно определяется запросом к серверу, тк возможны системы(сайты) в которых несколько различных запросов могут привести вас к одному состоянию системы, по-этому однозначно утверждать о дереве не стоит, соответственно появятся циклы и алгоритм становится не эффективным, а возможно и не работоспособным.
Цитата
Автор:  Определим весовую функцию w(e). Весовая функция w(e) полностью определяет переходы между состояниями web-сервера. На практике это запрос браузера к web-серверу или определенная структура, соответствующая  спецификации HTTP/1.0 (HTTP/1.1).
Отсюда и в дальнейшем не понятно каким образом отслеживаются xss,php,sql атаки, тк они совсем не основаны на спецификации http, и в основе своей реализуются через параметры переданные серверу, а параметры могут быть бесконечно различны и однозначно выделить из них безопасные не удастся.
 
А теперь расскажите, пожалуйста, как защищает эта система на примере формы обратной связи? Или на примере отправки коментария в форум? Или на примере формы регистрации, или... (мне продолжить?)
 
Отличная статья и отличная идея
 
"Всё хорошо"... только очень не нравится рекламный подход к написанию всех новых статей на securitylab :(
Пример, режущий (мне по крайней мере) глаза: описаны только преимущества модели, про недостатки - ни слова.

Ещё есть почти во всех статьях за последний год одна "вещь", которая мне спокойно жить не дает. Если считать, что маразм - отсутствие логики, то этот сайт постепенно "опускается" в клоаку маразма.
Цитата
Последний алгоритм обладает довольно большим коэффициентом эффективности, так как реализуют гипотезу, предложенную в начале статьи.
Мне не удается увидеть связь, как реализация ГИПОТЕЗЫ может служить залогом высокой эффективности?

Далее, уже конкретно по теме:
Цитата
так как сайт не может заведомо содержать в себе атаку
Эта фраза лишена смысла, т.к. "содержать атаку" вообще ничто не способно (если мое понятие слова "атака" совпадает в Вашим).
Если же имеется в виду, что сайт заведомо не создаст запрос, который будет являться атакой - то это зря: после удачной SQL инъекции сайт может выдавать ТАКИЕ вещи ;) А если удалось добраться до файлов...
Так что более правильно писать "так как сайт не должен создавать запросов, эксплуатирующих собственные уязвимости". Но теперь становится понятен "косяк": конкретные такие примеры мне неизвестны, но вполне возможно, что какой-н писака (тот же Francisco Burzi) сделает на своем же сайте запрос, валящий свой же сайт ;)


Критика CorePlex: несколько раз упоминался гипотетический защищаемый форум. Вообще-то, если сайт (или его часть) статический (единственный случай, когда существует это самое "безопасное дерево"), то "ежу понятно", что его можно сделать "на чистом HTML" (либо просто разрешить загружать страницы только из кэша прокси-ускорителя).
Если же "сайт = форум", то "снегерированных сервером" запросов хоть и больше, чем запросов на редактирование, но и число остальных нельзя назвать незначитальным. Мало того, именно "непредвиденные" запросы обычно и создают наибольшую нагрузку на сервер (см., в каких случаях используются input text и textarea).

Получается, "новый взгляд" - всего лишь дополнение к анализатору сигнатур/аномалий, простеникий ускоритель так сказать, причем ускоряющий не то, что медленно, а то, что и так достаточно быстро и иногда может быть даже кэшировано на стороне сервера.
 
Отличная статья, вот бы где попрактиковаться ещеб...
Страницы: 1
Читают тему (гостей: 1)