Quel type d'attaque provoque un JavaScript "à court de mémoire" sur le périphérique de l'attaquant?
Nous avons vécu une étrange attaque hier.
Notre journal des erreurs relevait la même erreur JavaScript "insuffisante en mémoire" d'une seule adresse IP toutes les 10 secondes. Les demandes provenaient de 6 ports clients sur la même adresse IP. Chaque port client utilisé une fois par minute a demandé le même fichier JavaScript.
Que pourrait faire l'attaquant? Le fichier JavaScript qu'il avait demandé était accompagné de 1: 1: 37408. Quel est le meilleur moyen de capturer les demandes réelles qu'il fait?
Selon ce que fait l'attaquant, capturer les demandes qu'il effectue peut ou peut ne pas vous fournir d'informations utiles. Quant à ce qu’il essaie de faire, il est peu probable que quiconque puisse vous donner une réponse utile autre que l’attaquant lui-même et toute personne tentant de le faire ne ferait que donner son avis. Dans ces situations, la seule chose que vous pouvez vraiment faire est d’ajouter une interdiction de propriété intellectuelle temporaire (disons de 24 à 72 heures pour commencer) à votre fichier .htaccess. Généralement, lorsque des attaquants voient quelque chose comme cela se produire si votre site se trouve être une tentative de drive-by, ils déplaceront sur un autre site et y tenteront leur chance. S'ils se concentrent sur votre site pour une raison quelconque, le blocage IP sera conservé. il est sûr pour le temps que vous définissez et ensuite, lorsque vous libérez le bloc IP, surveillez de près son IP et voyez si vous voyez des attaques venir de nouveau.
Avec notre réseau d'applications en ligne, nous surveillons les attaques afin d'identifier les éventuels bogues liés à la sécurité dans notre code, mais à part cela, nous ne nous soucions pas vraiment de ce que fait l'attaquant, ce qui compte, c'est le fait qu'il attaque. Nous utilisons un script automatisé que nous avons écrit en interne et qui détecte ces tentatives de piratage. Les premières fois, l'utilisateur sera dirigé vers une page d'avertissement indiquant que ce qu'il fait apparaît comme une préoccupation de sécurité pour nous et que de nouvelles attaques entraîneront des actions, si les attaques se poursuivent bloc bloqué 24 heures sur 24, après la libération, si bloc continu de 72 heures, si, après publication, le bloc persiste à nouveau pendant 30 jours, la seule option possible est un blocage permanent de la propriété intellectuelle après et pendant au moins 24 heures nous signalons l'adresse IP à une série de listes noires et d'entreprises partenaires en tant qu'IP dangereux.