El usuario malicioso que inflige ataques XSS parece estar en mi propia red

6

Tengo un proyecto Django en vivo en el que estoy usando nginx como proxy inverso con gunicorn como servidor de aplicaciones. Es un proyecto bastante nuevo y aún no está habilitado para SSL. Hay un usuario en este proyecto que ha estado infligiendo ataques XSS y robando cookies de usuario. Revisé los datos de mi sesión para averiguar la dirección IP de este usuario. Resultó que su IP es similar a 10. . . * - es decir, está en mi propia red ? Todos los demás usuarios parecen tener direcciones IP públicas normales BTT.

Originalmente esperaba descubrir su IP y negarla en mi nginx conf. Pero supongo que no es una solución robusta dado que parece estar en mi propia red. ¿Hay alguna forma en que pueda bloquear las solicitudes de red de esta persona mientras trato de averiguar cómo detener sus ataques XSS donde se está conectando como otros usuarios?

    
pregunta Sarah Micj 12.02.2016 - 11:54
fuente

2 respuestas

2

Pregunte a su administrador de red a quién pertenece esa dirección IP, luego hágales una visita y aplique firmemente un LART en la parte posterior de su cabeza.

Si esa no es una opción, configure nginx para que solo permita conexiones desde su propia dirección IP. Obviamente, esto solo es una buena idea cuando su dirección IP es estática, porque de lo contrario se bloqueará cuando cambie su IP.

Otra medida de interferencia es reconfigurar nginx para requerir autenticación HTTP para todas las solicitudes. De esa manera, un usuario solo puede hacer cualquier solicitud al proporcionar un nombre de usuario y contraseña, o incluso mejor con el certificado correcto.

Cómo hacer esto es una pregunta técnica para enlace

    
respondido por el Philipp 12.02.2016 - 12:15
fuente
1

Hay algunas cosas que puedes hacer al respecto. En general, puede escribir código que no permita que un atacante realice ataques XSS. Por esta razón, puede llevarle algún tiempo arreglarlo.

Lo siguiente que puede hacer es agregar un HIDS a su servidor para evitar tales ataques en general. Por esta razón, esta no es una solución al 100%, pero reducirá el riesgo. Utilizo OSSEC por ejemplo. Es de código abierto y no te costará nada.

También consideraría que esto no lo hacen uno de sus empleados, sino un atacante externo que de alguna manera obtuvo acceso a su red .

    
respondido por el davidb 12.02.2016 - 12:57
fuente

Lea otras preguntas en las etiquetas