Panoramica

Questo articolo spiega l'alert ACSIA chiamato "web request anomaly".

Spiegazione del web request anomaly

Con "web request anomaly" ci si riferisce a richieste Web insolite o anomale effettuate a un sito Web o un'applicazione Web. Implica l'identificazione di schemi o comportamenti che si discostano dalle interazioni previste e tipiche che gli utenti legittimi avrebbero con il servizio web. Queste anomalie potrebbero indicare potenziali minacce alla sicurezza, come tentativi di attacco o accesso non autorizzato, richiedendo ulteriori indagini e misure di mitigazione.

Esempio di attacco "Web request anomaly":

Considera un sito di e-commerce che elabora ordini e pagamenti online. Gli utenti legittimi di solito sfogliano i prodotti, aggiungono articoli ai loro carrelli della spesa e procedono alla pagina di pagamento per effettuare un acquisto.

Tuttavia, un utente malintenzionato con intenti dannosi vuole sfruttare una vulnerabilità nel sistema di elaborazione dei pagamenti del sito web. Invece di utilizzare il sito Web come farebbe un normale utente, l'attaccante decide di utilizzare uno script automatico o un bot.

Il bot invia un gran numero di richieste rapide e ripetitive direttamente al gateway di pagamento del sito web, bypassando la consueta interfaccia utente. Prova varie combinazioni di numeri di carta di credito e date di scadenza, tentando di trovare credenziali di pagamento valide. Questa attività eccessiva e non standard si distingue come insolita rispetto al modo in cui i clienti reali interagiscono con il sito web.

ACSIA ti avvisa quando viene eseguita un'anomalia di richiesta web sulla tua infrastruttura. Ecco tutte le informazioni che ACSIA ti mostra nella Live Notification:

Inoltre, sulla destra della schermata sopra, possiamo vedere le azioni che un utente può eseguire in questi casi.