Jun 11 2007
PHP-IDS
So, nun ist es endlich so weit, das PHPIDS ist erschienen, ich habe es mir heute mal angeschaut und etwas getestet und muss sagen, sieht schon sehr gut aus.
Für alle die nicht Wissen was das ist, es ist ein Intrusion Detection System für XSS Attacken und konsorten. SQL-Injections soll es wohl auch erkennen und abfangen können. Aber wir schauen mal.
Ausführlich werde ich mich am Wochenende einarbeiten und es auf Herz und Nieren testen. Vorallem interessant dürfte hierbei sein wieviel false positives werden erzeugt. Was nutzt einem das beste IDS wenn es zu restriktiv ist, sollte man es denn dann auch nutzen um Angriffe zu blocken.
Allerdings nutzt es hier schon ein Impact funktion welche je nach schwere des Angriffes höher ist und man auf die unterschiedlichen Werte/Level auch unterschiedlich reagieren kann. Ab einem bestimmten Impactlevel wird es dann auch kein false positive mehr sein.
Desweiteren wird noch interessant sein wie man den Filter umgehen kann, aber dazu muss ich mir ersteinmal in aller Ruhe die Regelsets anschauen und testen 