SQL Injection
Attraverso NOX, è possibile tenere monitorate le istruzioni e permettere quindi il rilevamento di qualsiasi operazione effettuata attraverso questi web server. Per esempio, è possibile evidenziare i tentativi falliti di accesso, le sql injection, e altre tipologie di attacco web-server based.
Un esempio pratico di configurazione potrebbe essere il seguente:
Requisiti:
- NOX Agent
- Web Server Apache / Ngnix
Con il seguente comando diamo un’istruzione illecita al web server, che eseguirà un blocco automatico:
curl -XGET "http://WEBSERVERADDRESS/?id=SELECT+*+FROM+users";
Risultato della detection:
Ora possiamo fermare l’attacco in questione inserendo la regola che ha rilevato l’sql injection all’interno del modulo SOAR per bloccare gli attacchi in maniera automatica:
La nostra infrastruttura rimane protetta anche contro gli attacchi verso i web server: