è possibile usare ip-fragmenation (ad esempio con fragroute) per eludere mod_security?
l'idea sarebbe quella di suddividere una stringa sql-injection o xss in piccoli pezzi in modo che non venga riconosciuta.
AviD era sulla strada giusta con l'idea di utilizzare i concetti di attacco di frammento IP per eludere l'ID di livello di rete e applicarlo ai dati HTTP di livello 7. Se si desidera suddividere un payload SQLi in modo che possa eludere i filtri di input e lavorare ancora contro il sistema di back-end, la tecnica di attacco è chiamata "HTTP Parameter Pollution (HPP)". HPP è un attacco in cui l'utente invia una richiesta in cui più parametri hanno lo stesso nome. In questi casi, c'è un ampio livello di varianza nel modo in cui le app risponderanno. Prenderanno il primo carico utile? L'ultimo? Nel caso di siti ASP / ASP.NET, in realtà concateneranno tutti i payload con lo stesso nome. Ciò consente un tipo di attacco di "frammentazione". Vedi il mio precedente post sul blog sull'argomento: link
e qui
Inoltre, la versione attuale di OWASP ModSecurity Core Rule Set (CRS) ha un set di regole sperimentale per HPP che simula l'ASP e concatena tutti i parametri con gli stessi nomi in variabili TX personalizzate per l'ispezione da regole successive -
Saluti, Ryan
Per quanto ne so, i frammenti IP vengono ricostruiti prima di essere trasferiti a mod_security.
Essenzialmente mod_security è semplicemente un plugin per il server web e non gestisce alcun materiale IP da solo. Ciò che riceve è sempre solo una richiesta HTTP completa.
In quanto tale, la risposta semplice sarebbe "No".
Tuttavia.
Se usi il tuo concetto di evasione (attacco diviso tra diversi pacchetti) e lo elevi a livello di applicazione, potrebbe esserci spazio per giocare lì.
Per esempio. è possibile eseguire l'attacco usando 2 richieste HTTP? Questo è un problema molto specifico dell'applicazione e non sarebbe affatto banale.
Ancora più banale, tuttavia, che dire delle richieste di intervallo HTTP?
Mi dispiace dire che non conosco la risposta qui, se mod_security sa come bloccarli.
La maggior parte degli altri WAF fa, comunque, e quelli che non sono stati completamente masticati ...
Leggi altre domande sui tag network webserver waf mod-security