我的一位客户使用McAfee ScanAlert(即HackerSafe)。基本上，每天有大约1500个错误请求在该站点上出现，以寻找安全漏洞。由于它表现出恶意行为，因此很想在几个错误请求之后就将其阻止，但也许我应该让它行使UI。如果我不做完，这是一次真正的考验吗？

解决方案

回答

如果这不会影响网站的性能，那么我认为这是一件好事。如果我们有1000个相同站点的客户都在这样做，是的，将其阻止。

但是，如果该网站是为该客户建立的，我认为他们这样做是很公平的。

回答

Isn't it a security flaw of the site to let hackers throw everything in their arsenal against the site?

好吧，我们应该专注于封闭漏洞，而不是试图挫败扫描仪(这是徒劳的战斗)。考虑自己运行此类测试。

回答

几次尝试后阻止不好的请求是件好事，但我们应该让它继续。
如果我们在5个错误请求后阻止了该请求，则我们将不知道第6个请求不会使网站崩溃。

编辑：
我的意思是，某些攻击者可能仅发送一个请求，但与我们由于阻止而未测试的1495中的一个相似，并且此请求可能会破坏站点。

回答

防止安全漏洞需要针对​​不同攻击的不同策略。例如，在拒绝服务攻击期间阻止来自某些来源的流量并不罕见。如果用户未能提供适当的凭据超过3次，则IP地址被阻止或者帐户被锁定。

当ScanAlert发出数百个请求(其中可能包括SQL注入)时，它肯定与站点代码应视为"恶意行为"的内容相匹配。

实际上，仅放置UrlScan或者eEye SecureIIS可能会拒绝许多此类请求，但这是对站点代码的真实测试。站点代码的工作是检测恶意用户/请求并拒绝它们。该测试在哪一层有效？

ScanAlert呈现两种不同的方式：格式错误的请求数量以及作为测试的每个单独请求的种类。似乎出现了以下两条建议：

• 站点代码不应尝试检测来自特定来源的恶意流量并阻止该流量，因为这是徒劳的。
• 如果我们确实尝试了这种徒劳的工作，则至少要对来自ScanAlert的请求进行例外处理，以测试较低的层。