From: Tamer Sahin (ts@securityoffice.net)
Date: Mon 09 Sep 2002 - 13:45:07 EEST
Monday, September 9, 2002, 9:53:00 AM, you wrote:
BD> On Mon, 2002-09-09 at 09:26, Emre BALCI wrote:
>> 1.Iss in realsecure kadar guvenilir saglam bir
>> programm=FDd=FDr ?
Selamlar bir aralar snort uzerinde URL evasion ile ugrasmistim. Bu
tarz zayifliklari onlemek icin etkili mekanizmalar kullaniyorlar
fakat hala su "false alert" olayina bir cozum bulamamislar gibime
geldi benim yazilimi yanitilip yanlis alarm'lar uretmek mumkun.
Notlarim asagidadir;
Url Evasion:
============
Istek:
GET /_vti_bin/shtml.dll HTTP/1.0
Cevap = OK
Snort Alarm:
02/22-07:21:56.500444 [**] [1:940:2] WEB-FRONTPAGE shtml.dll [**] [Classification: access to a
potentually vulnerable web application] [Priority: 2] {TCP} 192.168.10.2:3569 -> 192.168.10.1:80
Degistirilmis istek:
GET /_vti_bin/////////////////shtml.dll HTTP/1.0
Cevap = OK
Snort Alarm:
02/22-07:22:27.360204 [**] [1:873:2] WEB-CGI scriptalias access [**] [Classification: Attempted
Information Leak] [Priority: 2] {TCP} 192.168.10.2:3570 -> 192.168.10.1:80
False Alert:
============
Degistirilmis istek:
GET /_vti_bin/////////////////shtml.dll HTTP/0.9
Cevap = OK
Snort Alarm:
02/22-07:56:57.291383 [**] [1:1156:1] WEB-MISC apache DOS attempt [**] [Classification: Attempted
Denial of Service] [Priority: 2] {TCP} 192.168.10.2:3618 -> 192.168.10.1:80
Test Edilen Ortam:
==================
OpenBSD 3.0/Apache 1.3.19/Snort 1.8.3
Benim tecrubelerim genelde bu tarz ufak trick'lerle uygulamanin basitce
yaniltilabilecegi yonunde.
Iyi Calismalar;
Tamer Sahin
http://www.securityoffice.net
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------