如何设计一个系统来确定黑客使用的攻击矢量？

Question

我想知道的是，任何系统设计人员都应该实现什么简单到更复杂的事情，详细说明黑客是如何进入系统的。，我认为这将有助于关闭任何“后门”，并在入侵后重新修复系统。

我生活在Windows/IIS/.NET/MSSQL世界。

Answer 1

这是web应用程序防火墙(WAF)的基础。简而言之，它是一个正则表达式系统，用于指纹攻击的发生。与攻击匹配的请求可能会被阻止或为以后记录。

另一种方法是：记录一切.

Answer 2

如果您不知道漏洞可能在哪里，那么至少应该记录所有用户输入。但是，无论如何，您应该验证所有的用户输入，这样日志记录就有点毫无意义了。预防比事后补救更好。到那时一切都太晚了。

Answer 3

正如OrangeDog所指出的，真正能做的事情只有日志，并尝试检测漏洞。

更普遍的是，有许多工具正是为了这些目的而存在，例如TripWire (检测文件发生了更改)、NIDS/HIDS (正在进行检测攻击)、SEIMs (日志收集和相关)、身份验证服务器(用于跟踪发生的事情的独立设备)等等。

试着去securityfocus.com看看这些工具。这将使你对你所要求的任务的广度有一个概念。