我们安装了带有 IDP 的新型 Juniper SRX 防火墙,因此防火墙正在检查流量中是否存在可疑活动。
我遇到过 3 份针对 SQL 注入攻击的“误报”报告,但这些报告其实是真实的:
- 使用 mDaemon 的网络邮件时,尝试转发邮件被视为 SQL 注入尝试
- 在 .NET Web 应用程序中,在文本区域中输入大量文本并单击提交会触发 SQL 注入。似乎有一句话触发了它 - 讲述一位工程师从南威尔士一路前往贝辛斯托克。删除这句话,它就没问题了。
- 在经典 ASP 应用程序中,尝试保存报告(后台页面读取所有选中的复选框并将其插入数据库表中)。导致错误警报的关键字是“Goodmans”
对于上述第二个问题,如果我将文本内容粘贴到另一个 Web 应用程序中(我只是将内容复制到具有不同对象的不同的、不相关的经典 asp 表单中),则完全没有问题。对于第三个问题,应用程序运行正常 - 只是我们发现这组特定的选项会导致防火墙断开连接。
解决 mDaemon 问题的唯一方法是将服务器排除在 IDP 策略之外。
我将向 Juniper 提交支持请求,以帮助找到解决方案,但其他人如何处理误报?还有其他可以做的事情吗?我担心还有其他情况会引发更多误报,这将是一项无休止的工作。只是我们可能不知道许多误报,因为用户认为网站瘫痪了,然后就放弃了(或者不报告他们做了什么/无法再次复制)。
附加信息 就第三个问题而言,造成这一问题的原因不仅仅是“好人”,而是更为普遍的问题!
答案1
虽然我对 SRX 非常熟悉,但我很少使用 IDS 引擎,因为它会严重影响设备的性能。我可以告诉你,在具有类似功能(以及处理它的专用芯片)的 Palo Alto 设备上,我们根据 Palo Alto Networks 的风险评级设置配置文件。
PAN 在这方面非常灵活,允许您根据风险级别或特定漏洞进行阻止。我们通常选择采用 PAN 推荐的操作。我认为您需要寻找的是某种仅发出警报的设置或策略配置。也许有一种方法,如果反复尝试,它就会阻止。明天早上我会仔细阅读,看看我能为您找出什么,但我只会去阅读手册。祝你好运。