ip-frammentation e mod_security?

2

è possibile usare ip-fragmenation (ad esempio con fragroute) per eludere mod_security?

l'idea sarebbe quella di suddividere una stringa sql-injection o xss in piccoli pezzi in modo che non venga riconosciuta.

    
posta baj 04.05.2011 - 02:23
fonte

2 risposte

5

AviD era sulla strada giusta con l'idea di utilizzare i concetti di attacco di frammento IP per eludere l'ID di livello di rete e applicarlo ai dati HTTP di livello 7. Se si desidera suddividere un payload SQLi in modo che possa eludere i filtri di input e lavorare ancora contro il sistema di back-end, la tecnica di attacco è chiamata "HTTP Parameter Pollution (HPP)". HPP è un attacco in cui l'utente invia una richiesta in cui più parametri hanno lo stesso nome. In questi casi, c'è un ampio livello di varianza nel modo in cui le app risponderanno. Prenderanno il primo carico utile? L'ultimo? Nel caso di siti ASP / ASP.NET, in realtà concateneranno tutti i payload con lo stesso nome. Ciò consente un tipo di attacco di "frammentazione". Vedi il mio precedente post sul blog sull'argomento: link

e qui

link

Inoltre, la versione attuale di OWASP ModSecurity Core Rule Set (CRS) ha un set di regole sperimentale per HPP che simula l'ASP e concatena tutti i parametri con gli stessi nomi in variabili TX personalizzate per l'ispezione da regole successive -

link

Saluti, Ryan

    
risposta data 04.05.2011 - 14:39
fonte
4

Per quanto ne so, i frammenti IP vengono ricostruiti prima di essere trasferiti a mod_security.
Essenzialmente mod_security è semplicemente un plugin per il server web e non gestisce alcun materiale IP da solo. Ciò che riceve è sempre solo una richiesta HTTP completa.

In quanto tale, la risposta semplice sarebbe "No".

Tuttavia.
Se usi il tuo concetto di evasione (attacco diviso tra diversi pacchetti) e lo elevi a livello di applicazione, potrebbe esserci spazio per giocare lì.
Per esempio. è possibile eseguire l'attacco usando 2 richieste HTTP? Questo è un problema molto specifico dell'applicazione e non sarebbe affatto banale.

Ancora più banale, tuttavia, che dire delle richieste di intervallo HTTP?
Mi dispiace dire che non conosco la risposta qui, se mod_security sa come bloccarli.
La maggior parte degli altri WAF fa, comunque, e quelli che non sono stati completamente masticati ...

    
risposta data 04.05.2011 - 02:34
fonte

Leggi altre domande sui tag