IDS na poziomie aplikacji webowej dla serwisu PC Format i NEXT działa już pełną parą… i teraz problem rozbija się o wyłowienie ze stosu zgłoszeń wartościowych informacji.

Średnio pojawia się od kilkudziesięciu do kilkuset wykryć ataków dziennie (pomijając fałszywe alarmy). Praktycznie wszystkie raporty to zwykłe exploity na luki w phpBB, Mambo/Joomla i PHPNuke. Troszkę jest i trudniejszych w identyfikacji exploitów, ale ciągle są to zautomatyzowane ataki (np. exploity w Perlu/libwww).

PHPIDS pozwala definiować warunki generowania raportu, np. bazując na wyliczanym “impact” danego ataku. Jednakże tu raczej potrzebne jest wykluczenie pewnego typu ataków lub wyłowienie tych konkretnie skierowanych na serwis/forum, a nie całkowicie przypadkowych. Zadanie nietrywialne, ale konieczne do przeprowadzenia, bo codzienne przeglądanie kilkudziesięciu/kilkuset zgłoszeń nie pociąga mnie…