Download
1 / 10
100 likes | 195 Views
Séminaire INGI 2591. Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23. Plan de l’exposé. Rappel Whisker et attaques web Attaque choisie Règles proposées Règle choisie Critique des règles Résultats. Rappel Whisker et attaques web.
E N D
Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23
Plan de l’exposé • Rappel Whisker et attaques web • Attaque choisie • Règles proposées • Règle choisie • Critique des règles • Résultats Ingi 2591
Rappel Whisker et attaques web • Webscanner • requêtes http • différents types de contournement d’IDS • « Keep in mind that tools are not evil, but rather the people running them. Whisker was designed and bred to fulfill a legitimate security assessment need; use for illegal purposes is not intended, nor implied with this tool. » Ingi 2591
Attaque choisie • FormMail (Matt’s Script Archive) • Fonctionnement normal : • « ... generic WWW form to e-mail gateway, which will parse the results of any form and send them to the specified user... » • Principe • recipient : destinataire et auteur de la page dans une utilisation normale • env_report : variables d’environnement transmises à « recipient » Ingi 2591
Attaque choisie : suite • Fonctionnement détourné : • Envoyer des variables d’environnement à l’attaquant • Principe • recipient : adresse mail de l’attaquant • env_report : variables d’environnement transmises à l’attaquant Ingi 2591
Règles proposées • Alerter chaque requête à FormMail (lien interne vers arachnids) • alert TCP any any -> $HOME_NET 80 (content: "formmail"; msg: "My-Formmail-Attack"; flags: PA;) • Alerter chaque requête contenant « env_report » • alert TCP any any -> $HOME_NET 80 (content: "env_report"; msg: "My-Formmail-Env_Report-Attack"; flags: PA;) Ingi 2591
Règle choisie • Alerter chaque requête à FormMail et contenant « env_report » (lien interne vers arachnids) • alert tcp any any -> $HOME_NET 80 (content-list: groupe2-list; msg: "My Formmail-Env Attack"; flags: PA;) • Avec 'groupe2-list' : #groupe 2 formmail env_report #fin groupe 2 Ingi 2591
Critique des règles • Inefficaces contre : • URL encoding • Session Splicing • Réponse apportée : • Préprocesseur « HTTP Decode » • Ajout de la règle existante pour le « session splicing » : • insérer arachnids Ingi 2591
Critique des règles : suite • recipient • « False positives » • env_report : alerter chaque fois peut être inutile pour certaines variables d’environnement (REMOTE_HOST…)… • session splicing : test avec telnet ou fin de fichier • « False negatives » • Session splicing avec plus de 5 caractères (et maximum de 8)… • … mais le nombre de ces caractères peut être revu • si 8, risque d ’augmentation de « false positives » Ingi 2591
Détection par Snort de chaque cas en régime isolé Résultats • Attaque avec tous les modes d’évitement Ingi 2591
