Obtendo relatórios de injeção SQL falsos positivos

3

Instalamos um novo firewall do Juniper SRX com o IDP, portanto, o firewall está inspecionando o tráfego em busca de atividades suspeitas.

Encontrei 3 relatórios "falsos positivos" para ataques de injeção de SQL que são apenas uso genuíno:

  • Usando o webmail do mDaemon, tentar encaminhar uma mensagem foi considerado uma tentativa de injeção de SQL
  • Em um aplicativo da Web .NET, inserir uma carga de texto em uma área de texto e clicar em enviar acionou uma injeção de SQL. Foi uma frase que pareceu atrapalhá-lo - sobre um engenheiro que viajou para Basingstoke desde o sul de Gales. Remova essa frase que funcionou bem.
  • Em um aplicativo ASP clássico, tentando salvar um relatório (nos bastidores, a página lê todas as caixas de seleção selecionadas e insere isso em uma tabela de banco de dados). A palavra-chave que está causando o alerta incorreto é "Goodmans"

Com o segundo problema acima, se eu colei o conteúdo de texto em um aplicativo da web diferente (eu simplesmente copiei o conteúdo em um formulário de asp clássico diferente e não relacionado com objetos diferentes) não houve nenhum problema. Com o terceiro problema, o aplicativo funciona bem - é exatamente esse conjunto específico de opções que encontramos que faz com que o firewall solte a conexão.

A única maneira de resolver o problema do mDaemon é retirar o servidor da política do IDP.

Vou enviar uma solicitação de suporte à Juniper para ajudar a encontrar uma correção, mas como todos os outros lidam com falsos positivos? Existe mais alguma coisa que possa ser feita? Estou preocupado que existam outras condições que irão desencadear mais e este será um exercício sem fim. Exceto que talvez não saibamos sobre muitos falsos positivos, porque os usuários assumem que o site caiu e simplesmente desistem (ou não relatam o que fizeram / não podem replicá-lo uma segunda vez).

Informações adicionais No caso do terceiro problema, não é apenas "goodmans" que está causando o problema - é muito mais difundido!

    
por Dan 03.02.2012 / 22:46

1 resposta

2

Embora eu esteja bastante familiarizado com o SRX, eu não usei muito o mecanismo do IDS, porque ele protege a caixa com tanto desempenho. Posso dizer a você que em nossos dispositivos Palo Alto, que têm funcionalidade semelhante (e chips dedicados para processá-lo), definimos perfis com base nas classificações de risco da Palo Alto Networks.

O PAN é flexível nesse aspecto, permitindo bloquear por nível de risco ou a vulnerabilidade específica. Geralmente optamos por seguir as ações recomendadas pelo PAN. Eu acho que o que você vai ter que procurar é algum tipo de configuração ou configuração de política que apenas alerta. Talvez exista uma maneira de fazer tentativas repetidas que, então, bloqueiem. Vou ler isso amanhã de manhã e ver o que consigo descobrir, mas vou apenas para o RTFM. Boa sorte.

    
por 04.02.2012 / 16:00