|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>黑客技术>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
反nids技术应用介绍http://www.iyit.net 日期:2006-6-6 9:03:35 来源: 点击: |
get /abc.id%c1%01 http/1.0 snort1.8目前好象不能检测到这种编码后的攻击。采用通配符如"*string*"匹配的很多ids应该都存在此类问题。 解决办法就是在规则匹配前对url内容的unicode编码进行解码后匹配。 * 斜线问题:包括"/"和"\"。 # "/" 问题:如果在http的提交的请求中把'/' 转换成 '//',如"/cgi-bin/test.cgi"转换成"//cgi-bin//test.cgi",虽然两个字符串不匹配,但对许多web服务器的解释是一样的。如果把双斜线换成三斜线或更多效果也是一样的。目前有些ids无法检测到这种类型的请求。 # "\"问题:microsoft用'\'来分隔目录,unix用'/'来分隔,而http rfc规定用'/', microsoft的web服务器如iis 会主动把'/' 转换成 '\'。例如发送"/cgi-bin\test.cgi"之类的命令,iis可以正确识别,但这样ids就不会匹配"/cgi- bin/test.cgi"了,此法可以逃避一些ids。 * 命令问题:许多ids系统检测时缺省认为客户提交的请求是用get提交的,如get /cgi-bin/test.cgi。但是相同的请求用head命令也能实现,如用head发送:head /cgi-bin/test.cgi,则有些依靠get方法匹配的ids系统就不会检测到这个扫描。 * 增加目录:插入一些无用的特殊字符,使其与ids的检测内容不匹配。 如'..'意思是父目录,'.'意思是子目录,window下的"c:\tmp\.\.\.\.\"的意思就是"c:\tmp\";相应的unix下的 "/tmp/././././"和"/tmp/"等价。对"/cgi-bin/phf"可以任意变化成"/./cgi-bin/././phf等形式。 又如:get /cgi-bin/blahblah/../test.cgi http/1.0实际和"/cgi-bin/test.cgi"一样,目前一般ids都能识别。 很多智能的ids会把请求还原成正常的形式。 * 不规则方式: #用tab替换空格(对iis不适用):智能的ids一般在客户端的数据中取出url请求,截去变量,然后按照http的语法格式检查请求。在http rfc 中,http v1.0的请求格式如下: method # null方式:构造如下的请求: get%00 /cgi-bin/test.cgi http/1.0,由于在c语言中很多字符串处理函数用null作为字符串的结尾,如果ids是利用c函数处理字符串的话,ids就不可匹配null后面的字符串了。这种方式适合iis,apache不能处理%00。 * 虚假的请求结束:对有些智能的ids来说,为了提高效率上和减少占有系统资源,对客户端发过来的数据,一般只会处理请求部分。 如发送如下请求:get /%20http/1.0%0d%0aheader:%20/../../cgi-bin/test.cgi http/1.0\r\n\r\n 解码后是这样的:get / http/1.0\r\nheader: /../../cgi-bin/test.cgi http/1.0\r\n\r\n 这是一个正确的请求,但对某些智能的ids只会截取get的命令行,发现"http/1.0\r\n"后就结束,然后对截取得部分进行操作,所以智能的ids就不能正确报告基于此cgi的攻击。 * 长url(long urls):一些原始的ids为了提高效率往往只检查前xx个字节,通常情况这样很正确,因为请求是在数据的最前面的,但是如果构造一个很长的请求: get /rfprfp * 会话组合:把请求分开放在不同的包文中发出╠╠注意不是分片,则ids可能就不会匹配出攻击了。例如,请求"get / http/1.0"可以放在不同的包文中("ge", "t ", "/", " h", "t", "tp", "/1", ".0"),但不能逃过一些采用协议分析和会话重组技术的ids。 编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:实例讲解:全程追踪入侵jsp网站服务器 下一篇:用修改文件时间的方法来加密文件 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 相关文章 | ||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术