SQL Injection

Attraverso NOX, è possibile tenere monitorate le istruzioni e permettere quindi il rilevamento di qualsiasi operazione effettuata attraverso questi web server. Per esempio, è possibile evidenziare i tentativi falliti di accesso, le sql injection, e altre tipologie di attacco web-server based.

Un esempio pratico di configurazione potrebbe essere il seguente:
Requisiti:

NOX Agent
Web Server Apache / Ngnix

Con il seguente comando diamo un’istruzione illecita al web server, che eseguirà un blocco automatico:

curl -XGET "http://WEBSERVERADDRESS/?id=SELECT+*+FROM+users";

Risultato della detection:

Ora possiamo fermare l’attacco in questione inserendo la regola che ha rilevato l’sql injection all’interno del modulo SOAR per bloccare gli attacchi in maniera automatica:

Come si nota dall’immagine l’IP attaccante è stato bannato a livello di firewall locale, il tutto in maniera istantanea e automatica

La nostra infrastruttura rimane protetta anche contro gli attacchi verso i web server: