SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Полиморфные адреса URL Слово полиморфный ( polymorphic ) означает, что тот или иной объект имеет не­ сколько форм. Полиморфными будем называть такие адреса URL , которые связаны с одним и тем же ресурсом, однако имеют различный вид. В главе 3 обсуждалась структура URL , а также способы, с использованием которых в адресах URL можно закодировать запрещенные символы. Если внимательно по­ смотреть на структуру URL , то можно заметить, что один и тот же адрес можно пред­ ставить несколькими способами. Вполне очевидно, что подобное представление URL в различной форме может понадобиться для обхода анализа сигнатур. Проиллюстрируем это на примере. Вернемся к сценарию, когда злоумышленник располагается на узле 10.0.0.1, а целевой сервер имеет адрес 192.168.7.203. Програм­ма snort запущена на системе webspy , которая прослушивает тот же сетевой сегмент, в котором содержится и узел 192.168.7.203. В данном случае рассматривается атака RDS / MDAC . Ее реализация подразумевает генерацию запроса к ресурсу msadcs . dll сервера IIS . Для того чтобы определить, существует ли ресурс msadcs . dll в конкретной системе, можно сгенерировать следующий HTTP -запрос: Запрашиваемый ресурс находится по адресу http ://192.168.7.203/ nsadc / msadcs . dll . Ответ сервера свидетельствует о том, что данный ресурс действительно существует и запрос был успешно обработан. Как только будет отправлен данный запрос, в журнале узла webspy появится предупреждение о том, что IDS обнаружила атаку. Это сообще ­ ние имеет следующий вид : В Internet Explorer ( IE ) исходный HTML -код можно просмотреть с помощью ко­ манды View * Source или с использованием команды View Source контекстного меню. В специальном файле утилиты snort , в котором содержится набор правил выявле­ ния атак на сервер IIS , за обнаружение доступа к ресурсу / msadc / msadcs . dll отвечает следующее правило: В соответствии с этим правилом в URl -строке HTTP -запроса выполняется поиск шаблона / msadc / msadcs . dll . Если HTTP -запрос на доступ к ресурсу msadcs . dll удастся переписать таким образом, чтобы совпадения с шаблоном уже не было, то нападение может оказаться незамеченным. Ниже приведены наиболее распространенные способы представления этого запроса. Представление символов шсстнадцатсричным кодом. Избыточное кодирование или недопустимое кодирование символов в формате Unicode . Добавление фиктивных путей. Вставка комбинации символов/./. Использование в пути нестандартных символов-разделителей. Использование нескольких символов /.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |