9
403 oder 404 für unfreundliche Besucher?
Hallo,
eine WAF weist einen unfreundlichen Zugriff in der Regel mit einem 403 (Verboten) ab.
Da stelle ich mir die Frage ob ein 404 (Nicht gefunden) nicht besser wäre.
Die meisten Scans laufen ja automatisch ab. z.B. möchte der unfreundliche Bot auf https://exchange.firma.de/ECP zugreifen.
Die WAF erkennt den unfreundlichen Zugriff und blockiert diesen mit einem 403.
Jetzt mal bitte keine Diskussion einen Exchange "halb-nakt" im Internet zu betreiben.
Der Exchange steht hier stellvertrendend auch für den Admin-Zugang zu Wordpress, Drupal oder einen Shopsystem
Da bedeutet für den Angreifer der später das Protokoll auswertet:
- lohnendes Ziel (Exchange mit ECP) vorhanden
- Schutz vorhanden
-> Könnte man sich nochmal anschauen.
Bei einem 404:
- Kein Ziel vorhanden
- Kein Schutz vorhanden
-> Lohnt nicht.
Stefan
eine WAF weist einen unfreundlichen Zugriff in der Regel mit einem 403 (Verboten) ab.
Da stelle ich mir die Frage ob ein 404 (Nicht gefunden) nicht besser wäre.
Die meisten Scans laufen ja automatisch ab. z.B. möchte der unfreundliche Bot auf https://exchange.firma.de/ECP zugreifen.
Die WAF erkennt den unfreundlichen Zugriff und blockiert diesen mit einem 403.
Jetzt mal bitte keine Diskussion einen Exchange "halb-nakt" im Internet zu betreiben.
Der Exchange steht hier stellvertrendend auch für den Admin-Zugang zu Wordpress, Drupal oder einen Shopsystem
Da bedeutet für den Angreifer der später das Protokoll auswertet:
- lohnendes Ziel (Exchange mit ECP) vorhanden
- Schutz vorhanden
-> Könnte man sich nochmal anschauen.
Bei einem 404:
- Kein Ziel vorhanden
- Kein Schutz vorhanden
-> Lohnt nicht.
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1863127141
Url: https://administrator.de/contentid/1863127141
Printed on: April 27, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hallo
403, 404, 500,... im Prinzip ist es egal.
Verboten heißt ja nicht automatisch, das es vorhanden ist.
Info: Meine WAF blockt die nicht geladenen Gäste komplett! Und gibt keine Antwort raus.
403, 404, 500,... im Prinzip ist es egal.
Verboten heißt ja nicht automatisch, das es vorhanden ist.
Info: Meine WAF blockt die nicht geladenen Gäste komplett! Und gibt keine Antwort raus.
Generell hättest du natürlich recht - nen 404 wäre da besser. Leider wird das in der Realität nicht wirklich einen Unterschied machen. Mein Server sagt zB. das es nen Apache auf nem CentOS ist - trotzdem laufen die Script-Kiddys permanent mit der cmd.exe in den div. Verzeichnissen rum... Es ist ja leider so das heute da irgendwelche Bot-Netze hinter stehen und es somit einfach weniger Aufwand ist das vorgefertigte Script blind laufen zu lassen als da wirkliche Prüfungen einzubauen... (dasselbe ja mittlerweile auch für Telefon-Spam, schon einige Anrufe bekommen das ich bei PayPal was überwiesen hätte... einfach nur auflegen wenn die Robo-Stimme kommt würde jeden "denkenden" Menschen ja sagen "ok, kennt der wohl, lohnt nich wieder anzurufen"...)
Was ich dagegen mal prüfen würde - je nach vorgeschalteten System - ob du zB. per Ban2IP was werden kannst... 3-4x nen Forbidden und schon willkommen auf der Block-Liste...
Was ich dagegen mal prüfen würde - je nach vorgeschalteten System - ob du zB. per Ban2IP was werden kannst... 3-4x nen Forbidden und schon willkommen auf der Block-Liste...
1
Was der antwortet ist eigentlich völig piepe, sobald da überhaupt eine Antwort zurück kommt, ist er bereits ein potentielles Ziel.
Für alles andere ( z.B. gewisse Anzahl an fehlerhaften Zugriffen) Fail2Ban und feddich.
Security by Obscurity funktioniert meist eh nicht .
Gruß Sid.
Für alles andere ( z.B. gewisse Anzahl an fehlerhaften Zugriffen) Fail2Ban und feddich.
Security by Obscurity funktioniert meist eh nicht .
Gruß Sid.
1
Moin,
Wenn da nicht stupide Skripte das ganze abscannen würden, höttest Du recht mit 404 statt 403. Aber heutzutage macht das, wie meien Vorredner schon sagten eigentlich keinen Unterschied, was Du antwortest. Die meisten werden ihre Liste "abarbeiten" und sich nciht darum scheren, ob Du "verboten" oder "ncht vorhanden" antwortest.
Das ist ähnlich wie bei den Telefonspammern:
Heute gerade wieder Telefonspammer drangehabt, die mit wechselnden Mobilfunknummern meine 10 MSNs /Telefonnummern"durchtelefonieren", weil sie mir unbedingt mitteilen wollen, daß gerade ein Mitarbeiter bei mir in der Straße unterwegs ist und mir die Vorteile der neuen Solarförderung nahebringen wollte. (Aber Miete für mein Dach wollen sie nicht zahlen). Egal wie oft ich die sperre oder vor den Kopf stoße. Deren Automat versucht es immer wieder.,
lks
Wenn da nicht stupide Skripte das ganze abscannen würden, höttest Du recht mit 404 statt 403. Aber heutzutage macht das, wie meien Vorredner schon sagten eigentlich keinen Unterschied, was Du antwortest. Die meisten werden ihre Liste "abarbeiten" und sich nciht darum scheren, ob Du "verboten" oder "ncht vorhanden" antwortest.
Das ist ähnlich wie bei den Telefonspammern:
Heute gerade wieder Telefonspammer drangehabt, die mit wechselnden Mobilfunknummern meine 10 MSNs /Telefonnummern"durchtelefonieren", weil sie mir unbedingt mitteilen wollen, daß gerade ein Mitarbeiter bei mir in der Straße unterwegs ist und mir die Vorteile der neuen Solarförderung nahebringen wollte. (Aber Miete für mein Dach wollen sie nicht zahlen). Egal wie oft ich die sperre oder vor den Kopf stoße. Deren Automat versucht es immer wieder.,
lks
Zitat von @Lochkartenstanzer:
... Die meisten werden ihre Liste "abarbeiten" und sich nciht darum scheren, ob Du "verboten" oder "ncht vorhanden" antwortest.
... Die meisten werden ihre Liste "abarbeiten" und sich nciht darum scheren, ob Du "verboten" oder "ncht vorhanden" antwortest.
Ja, dem Bot ist das egal.
Aber gehe wir mal davon aus, dass ein Mensch sich die Liste nimmt und kurz durch einen ELK-Stack jagdt.
Zeige mir alle URL die auf /owa/ oder /ecp/ mit einem 403 geantwortet haben.
Die schaut er sich dann mit einem Proxy in DE (=deutsche IP) mal genauer an.
Bei einem 404 würden die bei so einer Suche nicht auftauschen.
Mit einem Reject zu antworten ist ja quasi ein 403.
Gar nicht zu antwortet (Drop) kann auch eher verdächtig sein.
Gegenfrage: Sieht Jemand Nachteile auf unfreundliche Anfragen mit einem 404 zu antwortet?
Die sichtbare Ausgabe kann ja ganz andere Informationen erhalten, so dass ein regulärer Besucher eine Idee hat warum er geblockt wurde.
Stefan
Nun - nur wird sich das für gewöhnlich kein Mensch angucken... Ich hatte zB. auch mal ne Zeit lang einfach mit Redirects geantwortet, auch das kümmert keinen... Und eine Analyse? Wäre eigentlich sogar schön wenns jemand machen würde - aber auch da sind die Kiddys ganz einfach zu blöd für. Da wird halt nen Script losgeschickt und sich ganz dolle gefreut wenn wieder irgendwo nen Admin seinen Server völlig ungesichert ins Netz gestellt hat. Würden die auch nur _etwas_ die Ergebnisse auswerten würde es vermutlich min. 75% weniger "Grundrauschen" in den Firewalls geben ;).
Der NACHTEIL wäre das eben ein Mensch der drauf geht eine falsche Antwort bekommt und somit nicht wüsste was er/sie/es falschgemacht hat. Auch da: Es ist kein wirklich grosser Nachteil, genauso wie es keinen wirklich grossen Vorteil bietet... Den einzig wirklichen Nachteil den ich sehen würde: Bei Fail2Ban u.ä. kann man natürlich schön sagen "Wenn du für eine IP mit 403 mehr als 3x antwortest dann sperre die gesamte IP". Machst du das mit nem 404 würde eben ein falscher Link schon zu ner Sperrung führen weil der Anwender ggf. mehrfach drauf klickt...
Am Ende ist es halt egal wie du antwortest -> deinen Schutz wird es nicht nennenswert verändern. Der SCHUTZ kommt von deinem Server und der Konfig - die muss sowas eben abhalten können...
Der NACHTEIL wäre das eben ein Mensch der drauf geht eine falsche Antwort bekommt und somit nicht wüsste was er/sie/es falschgemacht hat. Auch da: Es ist kein wirklich grosser Nachteil, genauso wie es keinen wirklich grossen Vorteil bietet... Den einzig wirklichen Nachteil den ich sehen würde: Bei Fail2Ban u.ä. kann man natürlich schön sagen "Wenn du für eine IP mit 403 mehr als 3x antwortest dann sperre die gesamte IP". Machst du das mit nem 404 würde eben ein falscher Link schon zu ner Sperrung führen weil der Anwender ggf. mehrfach drauf klickt...
Am Ende ist es halt egal wie du antwortest -> deinen Schutz wird es nicht nennenswert verändern. Der SCHUTZ kommt von deinem Server und der Konfig - die muss sowas eben abhalten können...
Ich stimme den Kommentaren zu, dass es in der Realität keinen großen Unterschied macht, ob du 403 oder 404 zurückgibst. Die meisten Bots und Scripte werden einfach weitermachen, egal was du zurückgibst.
Wenn du dich jedoch Sorgen machst, dass ein Mensch die Liste der fehlgeschlagenen Anfragen analysiert, könnte ein 404-Antwort hilfreich sein. Dadurch wird die Website weniger interessant für Angreifer, die nach potenziellen Zielen suchen.
Wenn du dich jedoch Sorgen machst, dass ein Mensch die Liste der fehlgeschlagenen Anfragen analysiert, könnte ein 404-Antwort hilfreich sein. Dadurch wird die Website weniger interessant für Angreifer, die nach potenziellen Zielen suchen.
Man kann schon mal Informationen verbergen. Aber wenn Konventionen greifen, dann hält man sich besser daran. Die Manipulation von HTTP-Codes ermöglicht es Nutzern nicht einmal festzustellen, welches Team für einen Fehler verantwortlich ist: Infra/Zugang oder Anwendung.
Es kann natürlich sein, dass solche Fehler in Kombination mit der WAF niemals vorkommen. Dann kann man sich aber die WAF sparen, denn entweder handelt es sich um die beste Webanwendung der Welt, oder sie wurde seit Adaption des Regelwerks vor fünf Jahren nicht mehr aktualisiert, oder alle für die Anwendung irgendwie relevanten Regeln wurden im Warm-Up schon deaktiviert (wie bei wahrscheinlich 95% der WAF im Prevention-Mode anzutreffen).
Grüße
Richard
Es kann natürlich sein, dass solche Fehler in Kombination mit der WAF niemals vorkommen. Dann kann man sich aber die WAF sparen, denn entweder handelt es sich um die beste Webanwendung der Welt, oder sie wurde seit Adaption des Regelwerks vor fünf Jahren nicht mehr aktualisiert, oder alle für die Anwendung irgendwie relevanten Regeln wurden im Warm-Up schon deaktiviert (wie bei wahrscheinlich 95% der WAF im Prevention-Mode anzutreffen).
Grüße
Richard
Moin,
Gruß,
Dani
eine WAF weist einen unfreundlichen Zugriff in der Regel mit einem 403 (Verboten) ab.
Da stelle ich mir die Frage ob ein 404 (Nicht gefunden) nicht besser wäre.
eine WAF unterdrückt eigentlich den ursprünglichen Fehler und gibt immer HTTP Error 404 zurück. Alles andere birgt das Risiko, dass durch den eigentlichen Fehler der vermeidliche Angreifer weitere Informationen erhält und damit weitere Angriffe durchführt.Da stelle ich mir die Frage ob ein 404 (Nicht gefunden) nicht besser wäre.
Gruß,
Dani