Какие данные в логах веб сервера возможно фальсифицировать, не имея доступа к самому веб серверу?
Только поля HTTP запроса. Этот запрос полностью формируется на стороне клиента, поэтому при желании злоумышленник может подставить в него любые поля с любыми значениями.
Зафиксированному в логе IP адресу можно доверять. Конечно, при этом следует помнить, что это может оказаться IP прокси сервера или сокс сервера или иного посредника.
Прочие поля – это внутренние данные веб сервера (код ответа, размер страницы и т.п.), которым также можно доверять.
Для проверки достоверности данных логов веб сервера применяется сопоставление записей между собой, а также с иными логами.
Приведем пример из практики, иллюстрирующий полезность сопоставления различных логов. Сотрудник службы информационной безопасности интернет казино, анализируя логи веб сервера, заметил, что браузер одного из игроков, согласно полям его HTTP запросов, поддерживает русский язык. При этом IP адрес числился за Кореей. Указания же на корейский язык не было. Это возбудило подозрения. Сотрудник проверил, с каких еще адресов обращался пользователь под этим аккаунтом. Оказалось, что с единственного IP. Тогда он проверил, какие еще пользователи обращались с этого же IP. Оказалось, что больше никто этот корейский IP адрес не использовал. Но сотрудник службы безопасности не успокоился и проверил, какие еще были обращения от браузера с таким же набором настроек (язык, версия браузера, версия ОС, разрешение экрана, принимаемые типы данных). Оказалось, что с такого же браузера было зарегистрировано больше 10 аккаунтов. Все эти пользователи приходили с IP адресов разных стран, причем страна соответствовала имени пользователя, то есть, например, Джон Смит с IP адресом США, Ву Пак с IP адресом Кореи, Ганс Мюллер с IP адресом Германии и так далее. Но идентичный набор настроек браузера всех этих пользователей (включая поддержку русского языка) вызывал большие подозрения. Когда же сотрудник сопоставил периоды активности всех подозрительных пользователей, он увидел, что они не пересекаются и более того – примыкают один к другому. Он понял, что имеет дело с кардером, который регистрирует аккаунты по краденым карточкам, пользуясь сокс-серверами в разных странах. Дальнейшая проверка это подтвердила.
Только поля HTTP запроса. Этот запрос полностью формируется на стороне клиента, поэтому при желании злоумышленник может подставить в него любые поля с любыми значениями.
Зафиксированному в логе IP адресу можно доверять. Конечно, при этом следует помнить, что это может оказаться IP прокси сервера или сокс сервера или иного посредника.
Прочие поля – это внутренние данные веб сервера (код ответа, размер страницы и т.п.), которым также можно доверять.
Для проверки достоверности данных логов веб сервера применяется сопоставление записей между собой, а также с иными логами.
Приведем пример из практики, иллюстрирующий полезность сопоставления различных логов. Сотрудник службы информационной безопасности интернет казино, анализируя логи веб сервера, заметил, что браузер одного из игроков, согласно полям его HTTP запросов, поддерживает русский язык. При этом IP адрес числился за Кореей. Указания же на корейский язык не было. Это возбудило подозрения. Сотрудник проверил, с каких еще адресов обращался пользователь под этим аккаунтом. Оказалось, что с единственного IP. Тогда он проверил, какие еще пользователи обращались с этого же IP. Оказалось, что больше никто этот корейский IP адрес не использовал. Но сотрудник службы безопасности не успокоился и проверил, какие еще были обращения от браузера с таким же набором настроек (язык, версия браузера, версия ОС, разрешение экрана, принимаемые типы данных). Оказалось, что с такого же браузера было зарегистрировано больше 10 аккаунтов. Все эти пользователи приходили с IP адресов разных стран, причем страна соответствовала имени пользователя, то есть, например, Джон Смит с IP адресом США, Ву Пак с IP адресом Кореи, Ганс Мюллер с IP адресом Германии и так далее. Но идентичный набор настроек браузера всех этих пользователей (включая поддержку русского языка) вызывал большие подозрения. Когда же сотрудник сопоставил периоды активности всех подозрительных пользователей, он увидел, что они не пересекаются и более того – примыкают один к другому. Он понял, что имеет дело с кардером, который регистрирует аккаунты по краденым карточкам, пользуясь сокс-серверами в разных странах. Дальнейшая проверка это подтвердила.
