資安JAVA(十八): 偵測應用層的入侵

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 18 – PERFORM APPLICATION LAYER INTRUSION DETECTION
作者:John Melton
I'm watching you...( ´థ_థ)σ
What is it and why should I care?

作者認為應用程式的保護機制中, 應用層的入侵偵測機制 是非常有效的。目前為止的主題都是關於軟體生命週期的開發階段,但這篇文章卻橫越整個應用程式範圍,從需求到規劃,最終上線階段。

基本概念是擬定計畫、實作並監控"不好的事件"。這種系統的特性是尋找意料外的事件並持續追蹤。經過一段時間後,再判斷是否應將那些事件列為攻擊事件。

很多開發者都已經下了功夫去偵測事件,看看以下的範例pseudo-code:

if (使用者有權存取資料) {
    get 資料
    redirect 檢視(或編輯)的頁面
} else {
    log 例外狀況
    send 錯誤訊息給使用者
}

作者看過太多上述的例子。其中有個問題是管理例外狀況。通常,人們寧願盯著螢幕發呆或打掃環境也不願意檢查 logs,所以當攻擊者進攻你的應用程式,唯一看到錯誤訊息的只有他。只要增加通知功能、送出訊息到入侵偵測引擎,你就可以追蹤事件並了解應用程式的實際使用狀況。偵測到入侵事件後,你就能夠把入侵者吊起來打...我的意思是以合法的方式回應入侵行為。一般來說,你可以增加紀錄的頻率、操作使用者帳戶、或禁止存取某些功能。


What should I do about it?

作者提到以下的方法來幫助解決問題,像是 ESAPI 、 AppSensor 、自行建置。
  • ESAPI 內建的入侵偵測引擎能發揮某些作用,雖然不適用所有狀況,但你可以修改核心程式以擴充功能。
  • AppSensor 就是 ESAPI 的擴充功能。實作上的彈性比原本 ESAPI 更好,更進一步的, AppSensor 對於入侵偵測的概念和 程式碼 有很多說明文件。最近, AppSensor 的專案正在進行程式碼和文件的大改版。
  • 依據你的需求,自行建置專用的分析引擎可能是很小或很大的專案。無論如何,制定並實行偵測計畫對你的應用程式是有益無害的。
只要額外一些的努力,你就能深度透視應用程式的整體健康。你可以發現誰正在攻擊或曾經攻擊,你可以根據攻擊事件即時回應。

作者本身是 AppSensor 專案成員之一,很了解這方面的問題。歡迎大家多利用他提出的概念解決問題。

參考資料
https://www.owasp.org/index.php/ApplicationLayerIntrustionDetection
http://www.jtmelton.com/2010/11/10/application-intrusion-detection-with-owasp-appsensor/
http://www.owasp.org/index.php/OWASP_AppSensor_Project
http://www.youtube.com/watch?v=6gxg_t2ybcE
http://www.clerkendweller.com/2010/11/12/Application-Intrusion-Detection-and-Response-Planning-Methodology
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

———–———–
資安Java: 上一篇 || 下一篇
———–———–

留言

張貼留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者:John Melton 內文: Safe path. What is it and why should I care? HTTP強制安全傳輸技術,強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS,支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程: 第一步,使用者造訪網站,不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步,網站輸出網頁,內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步,支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。
更多詳細 »

以 SharpPcap 實作可收聽封包的 C# 程式

有個需求是收聽網站的流量,檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包,到了底層是走tcp/ip,只要能夠抓取tcp/ip封包,並轉換成可處理的格式,就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量,於是開始搜尋可用工具。其中,在Windows環境最有名的就是 WinPcap ,網路上已經有熱心人士提供包裹在 C# 的元件,只要先安裝好WinPcap,然後下載元件到自己的應用程式,即可收聽封包。該元件就是 SharpPcap ,2004年,美國的 Tamir Gal 為了完成大學的專案,在.NET 應用程式中使用 WinPcap 的功能,因此順便開發了SharpPcap 。他甚至寫了範例,使得開發人員可以更快學習如何利用他的元件,詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一,下載 WinPcap,並妥善安裝完畢。( 下載連結 ) 第二,下載 SharpPcap 。( 下載連結 ) 第三,將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;
更多詳細 »

資安JAVA(四):Session Cookie HTTPOnly Flag

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者:John Melton 內文: What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值,而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式,因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功,攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。
更多詳細 »