¿Es posible detectar y registrar CORS y solicitudes de verificación previa en IIS?

3

Me gustaría hacer un seguimiento y comprender si las solicitudes de CORS / sitios cruzados están llegando a mi sitio web, y si están teniendo éxito o no.

Mi objetivo es comprender si los clientes siguen nuestra documentación correctamente y detectar intentos de piratería de nuestro sitio por parte de terceros.

No sé si hay algún valor en informar por separado sobre una solicitud CORS de "verificación previa" frente a una solicitud normal, pero sería interesante observar el resultado.

Dicho esto,

  • ¿Qué se debe registrar en los registros normales de IIS para detectar este CORS y las solicitudes de verificación previa?
  • ¿Se requiere algún registro específico de la aplicación? (lógica en la propia aplicación web para complementar los registros de IIS)
pregunta random65537 21.07.2013 - 18:47
fuente

1 respuesta

1

Bueno, hay dos tipos de solicitudes entre sitios. Uno sería desde sus páginas web a un dominio separado y el otro sería desde páginas web de dominio externas a su sitio web.

Digamos que está sirviendo una página web desde iis con una imagen o script malicioso. Cuando el usuario realiza la solicitud de esa página, iis puede registrar todas las solicitudes http (imágenes, scripts, html, etc.) en su propio servidor, pero no en el servidor malintencionado. Por lo tanto, no verá ninguna solicitud de http en sus registros iis. La captura de solicitudes http que ocurren desde sus páginas web solo se puede hacer a nivel de cliente. Desafortunadamente, javascript no tiene una api para capturar eventos de solicitud http, sino herramientas como fiddler o firebug puede mostrarle todas las solicitudes http que se envían cuando se carga una página web. Para este escenario, puede lograr los resultados deseados al crear un script de rastreo de su sitio web y enumerar todas las solicitudes http que son hechos. A continuación, verificará si el dominio de la solicitud es el suyo y cuál es el código de respuesta http (éxito contra fracaso).

El otro escenario es si los datos maliciosos se alojan y se envían desde su sitio web (por ejemplo, alguien subió un poco de javascript y lo está llamando desde otro sitio web). Una forma sencilla de detectar esto es analizar sus registros iis en busca de solicitudes http a tipos de archivos no html con un referente distinto al suyo. La referencia puede ser falsificada si el atacante tiene suficiente previsión para hacerlo. Esto también se puede prevenir activamente mediante un módulo http, una regla de reescritura de URL o el código de su sitio web si configura algo para servir sus archivos.

    
respondido por el James Santiago 30.07.2013 - 02:12
fuente

Lea otras preguntas en las etiquetas