Recientemente implementé el módulo mod_security en mi servidor web Apache. Sé que las reglas de OWASP CRS incluyen etiquetas para categorizar ataques, pero quiero crear categorías de nivel superior, particularmente para identificar el reconocimiento a partir de los registros generados.
Habiendo dicho eso, quiero saber si mi comprensión es correcta en los siguientes puntos:
- Cualquier método HTTP que no sea compatible con la aplicación es un intento de escaneo / reconocimiento. Las anomalías de protocolo / encabezados que faltan y los gustos también se encuentran en la misma categoría.
- Dado que la directiva Apache
ProxyRequests
está desactivada, cualquier intento de CONEXIÓN también estará en el escaneo / reconocimiento. No se puede categorizar como abuso de proxy si el servidor no recibe solicitudes de proxy, ¿verdad? - El método OPCIONES, según mi entendimiento y lo que dice la especificación, parece que está hecho para escanear los métodos disponibles. Nmap y otras herramientas de ilk disparan las solicitudes de OPCIONES para averiguar lo que el servidor tiene para ofrecer. ¿Pero debería indiscriminadamente poner todas las solicitudes de OPCIONES en intentos de escaneo?
- ¿Cómo distinguir las solicitudes GET legítimas de las maliciosas? Y por malicioso, me refiero a los que son un precursor de un ataque? Por supuesto, puedo correlacionar todos los registros para encontrar enlaces, pero ¿hay una forma inmediata? ¿Por el agente de usuario? ¿Qué pasa si no se puede identificar el agente de usuario?
Pido disculpas por bombardear todas las preguntas a la vez, pero no pensé que sería una buena idea preguntarlas por separado. Error novato, tal vez.