悪意のあるGETリクエストからどのように防御できますか？

悪意のあるGETリクエストからどのように防御できますか？

これらのリクエストは本当に悪意があるようには見えません。少なくともあなたの説明に基づいて、それらは害を引き起こしません、すなわち、不要なコード実行、SQLインジェクションまたは同様の攻撃はありません。彼らは処理するためにいくつかのリソースを必要とします。表示されているのは、Webサーバーのすべてのオペレーターがログファイルで確認できるものです。誰かがインターネットをスキャンして脆弱なシステムを探しているため、サーバーに存在するものと一致しない多くのリクエストがあります。さらに、これらのリクエストは、以前は有効であったURLが無効になったサイトへの変更によっても引き起こされる可能性がありますが、ロボットは古いURLを記憶し、これらの更新をチェックします。

これらの要求が気になる場合は、アプリケーションを変更して、そのような要求を無視するように（エラーとしてログに記録しない）か、アプリケーションの前にあるサーバー/リバースプロキシでこれらの要求をフィルター処理します。

提案されているWebアプリケーションファイアウォール（WAF）はこのような要求をフィルター処理できますが、これらの無害な要求をフィルター処理するためだけにインストールするのはやり過ぎだと思います。しかし、適切に使用されると（つまり、多くの場合のように、インストールされて忘れられるのではなく、アプリケーションに適応する）、保護の有用なレイヤーになる可能性があります。そして、提案されたfail2banも役立ちますが、これらの要求が少数の単一のIPアドレスからのみ発生する場合にのみ役立ちます。さらに、fail2banに依存すると、有効なユーザーがロックアウトされる可能性があります。これは、サイトへの無効なリンクがメールや他のWebサイトに含まれる可能性があるため、リクエストの発信元IPアドレスは攻撃者ではなく、このリンクへのアクセスで騙された無実のユーザーです。しかし、fail2banは元のIPとエラーメッセージのみを確認し、無実のユーザーをロックアウトします。

あなたがすべきことはあなたのアプリケーションに脆弱性がないことを確認することです [〜＃〜] owasp [〜＃〜] はWebアプリケーションのセキュリティ保護について学ぶための良いリソースです。アプリケーションが安全である場合は、この種の要求を処理するのに問題はありません。ただし、無効なリクエストによるリソースの使用を制限するには、これらのリクエストがアプリケーションで可能な限り早期に検出および拒否されることを確認する必要があります。つまり、無効なリクエストがデータベースに対してコストのかかるクエリをトリガーすることは好ましくありません。