Subversion 送交檔案時被入侵偵測系統誤判為壞人

這是好幾個月前發生的事了,當時沒空整理,現在要整理,手邊卻沒有資料(圖片)了。

簡單地說,有些 .aspx 或 .aspx.vb 檔案在送交至版本儲存庫時,Subversion 會顯示 commit 失敗的訊息。和網管反映之後,回答是我們的程式有 SQL injection 的 pattern,所以被入侵偵測系統攔下來。

我解釋,很可能是因為我們的程式裡面有很多 embeded SQL 指令,而且 Subversion 的傳送協定是 HTTP,所以造成入侵偵測系統誤判,其實並非 SQL injection。但最後,還是得自己去正式機環境用 WireShark 攔封包,拿證據給網管看。

證明不是 SQL injection 後,網管對於調整偵測規則還是有些疑慮,要求開發小組提出申請,由高層決定是否調整。因此,最後還是從自己的環境著手:把 Subversion 的傳送協定改為 HTTPS 加密協定。把傳送的內容加密,入侵偵測系統便全看不見,也就不會有誤判的問題啦!

有時候,「資訊安全」好像變成神聖不可侵犯的領域,只要祭出資安大旗,其他考量都得讓它三分,無論青紅皂白。在比較官僚式的組織裡,即使是很簡單、很明顯的問題,也可能得大費周章、你來我往。開發人員若有辦法繞過它,有時候的確能省下許多工夫(和唇舌)。

沒有留言:

技術提供:Blogger.
回頂端⬆️