一般来说,IDS会记录攻击者的源IP,但这对于使用跳板或肉鸡的黑客来说并没有回溯作用。

但现在很多网站的大多数功能都是先登陆才可见的,其最外层登陆验证界面没什么内容,也更容易进行安全防护。真正网站的主要功能应用都是需要在登陆状态下才能访问到。

那对这些大部分功能登陆才可使用的网站而言,IDS能否将针对内部功能应用的攻击行为与登陆状态的账户相关联,使得哪怕黑客可以通过跳板和代理访问网站,但要深入渗透网站其最终用的还是自己的账户?

而这里的身份验证最好通过https客户端证书,同时在CA处客户端证书与实名身份证认证绑定,从而便于网站安全维护人员进行攻击溯源?

同时,是否可以实现,网站对客户端证书所分配许可权和实际行使许可权进行对照检验,这样一旦用户操作所需许可权高于当前连接所用公钥所分配许可权,就说明可能存在提权行为,直接中断越权行为,一定程度上提高渗透成本?

PS:最好是本地证书的调用需要开展即时生物活体信息识别(指纹等方式),可以一定程度上提升黑客盗用肉鸡本地客户端证书的难度,同时对应用层代理服务和自动化爬虫程序试图自动化调用本地证书的行为进行限制。

这难道不是在说PAM?

既然是攻击,怎么会用自己的证书,怎么会用证书?

思路很好,利用多因素(证书、生物识别等)身份验证以及细粒度的鉴权机制来避免系统未授权的访问。这种安全设计一直有被使用,只是实施成本太高,不适应大部分系统。并且WEB攻击不一定需要登录你的网站,可能利用网站存在的漏洞进行越权操作或入侵伺服器。另外真实的渗透攻击是多维度的,不管是主机层还是网路层的IDS只能起到检测作用,需要安全人员结合实际场景去分析、溯源。

网站许可权登录本就支持使用签名证书的。

例如我的nas就是要用证书才能访问的,浏览器是需要发送我网站CA签名过的证书才能访问的。

https://zhuanlan.zhihu.com/p/93405636?

zhuanlan.zhihu.com图标

对客户端证书对应的账号绑定许可权并且检验,这在kubernetes系统内默认RBAC就是。

可以的,不仅仅是http协议。dns协议啥的都可以用来分析

实验室状态下估计可以实现

推荐阅读:
相关文章