SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Использование в пути нестандартных символов - разделителей При задании адресов URL сервер IIS компании Microsoft разрешает использовать в пути в качестве символа-разделителя обратную косую черту (\). Компания Microsoft использовала этот символ-разделитель еще со времен DOS и при реализации своего Web -сервера также "решила" проигнорировать спецификации НТТР/1.0 и НТТР/1.1, в которых определено, что в качестве такого разделителя должен использоваться толь­ ко символ прямой косой черты (/). Таким образом, все направляемые серверу IIS запросы HTTP можно модифициро­вать, воспользовавшись в качестве разделителя символом \. В этом случае запрос на получение доступа к ресурсу / msadc / msadcs . dll будет выглядеть следующим образом: GET / msadc \ iMadce . dll НТТР/1.0 Поскольку в наборе правил утилиты snort шаблон rasadc \ msadcs . dll отсутствует, та­ кой запрос не вызовет никаких подозрений. Для решения этой проблемы любое пра­ вило, связанное с запросами к серверу IIS , в котором содержится символ-разделитель, должно быть продублировано также и с использованием символа-разделителя V Еще лучше разработать для программы snort собственный препроцессор, который в адресе URL выполнял бы замену всех символов \ на /. Использование нескольких символов / В качестве разделителя можно использовать не один символ косой черты, а сразу несколько. При этом с использованием такого адреса URL можно выполнять те же действия, что и раньше. Такой прием позволяет ввести в заблуждение системы выяв­ ления вторжений, например snort . Ниже показаны запросы, эквивалентные исходно­ му запросу для получения доступа к ресурсу / msadc / msadcs . dll . GET//meadc//M*dcs.dll HTTP/1.0 GET ///asadc///M«dcs. dll HTTP/1.0 Одновременное использование различных подходов Воспользовавшись несколькими рассмотренными выше методами, можно создать еще большее количество адресов URL . Ниже приведены некоторые примеры. GET / ЛпШс/. \ nsadcs . dll НТТР/1.0 GET /\ meadc /\ iisadce . dllHTTP / l .0 GET //\\» adc //\\ msadcs . dll HTTP /1.0 Для борьбы с подобными хитростям и эффективного выявления вторжений в со­ став IDS должен входить специальный HTTP -дешифратор или HTTP -препроцессор.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |