Estoy aprendiendo en la escuela sobre firmas de ataques en aplicaciones web (básicamente OWASP), pero no entiendo lo que realmente son en este contexto. ¿Alguien puede darme algunas buenas referencias donde pueda entender mejor qué son y dónde se usan? Gracias!
Las firmas de ataques en el contexto de la detección de intrusos en la red (especialmente en relación con las aplicaciones web) son heurísticas y patrones de datos que pueden utilizarse para identificar el tráfico que constituye un ataque.
Por ejemplo, el patrón de expresión regular union\s+select podría usarse para detectar ataques de inyección SQL (aunque muy ingenuamente). Otro patrón podría ser simplemente 0x31303235343830303536 , que es un valor que Havij (una herramienta de inyección de SQL) utiliza en sus solicitudes.
Las firmas no tienen que estar relacionadas con los datos de la aplicación. También podrían basarse en indicadores de paquetes, patrones de tráfico (por ejemplo, muchos paquetes de respuesta de DNS inesperados), intentos incorrectos de inicio de sesión, etc.
Estas firmas combinadas pueden formar la columna vertebral de un Sistema de detección de intrusiones (IDS), que se basa en estos patrones y heurísticas para identificar ataques y alertar al administrador.
Lea otras preguntas en las etiquetas web-application detection owasp