OSSEC può rilevare attacchi di overflow del buffer?

2

Sto cercando di rilevare l'overflow del buffer usando OSSEC (un software HIDS) come menzionato in Esempio di regole OSSEC e OSSEC book .

Come posso configurare OSSEC per rilevare un semplice esempio di overflow del buffer come il seguente:

#include <string.h>
#include <stdio.h>
void main(int argc, char *argv[]) {
    char buffer[100];
    strcpy(buffer, argv[1]);
    printf("Done!\n");
}
    
posta fluke-ng 22.05.2017 - 12:47
fonte

2 risposte

1

Ricorda che OSSEC è un HID basato su log - sapendo che è chiaro che OSSEC sarà in grado di reagire solo se qualcuno (ad es .: un demone) aggiunge un log che corrisponde a una regola di overflow del buffer.

Guarda l'esempio di codice ufficiale che hai menzionato.

Cordiali saluti,

    
risposta data 13.07.2017 - 19:10
fonte
1

Se stai cercando il rilevamento di attacchi stage-one (shellcode in un processo), c'è EMET, WDEG aka EMET II (per Windows) e Lotan (multipiattaforma).

Leviathan Security ha pubblicato su Lotan almeno due volte qui:

EMET è stato capace di simili attraverso il Notifier 3.0 o 5.5 Event-Log meccanismi.

    
risposta data 12.08.2017 - 21:01
fonte

Leggi altre domande sui tag