Post on 11-Jan-2016
description
Séminaire INGI 2591
Attaques WebAccardo Nicolas INFO 22
Blerot Olivier INFO 22
Couvreur Pascal INFO 22
Depry Fabian INFO 23
21 avril 2023 Ingi 2591
Plan de l’exposé
• Rappel Whisker et attaques web• Attaque choisie• Règles proposées• Règle choisie• Critique des règles• Résultats
21 avril 2023 Ingi 2591
Rappel Whisker et attaques web
• Webscanner– requêtes http
– différents types de contournement d’IDS
• « Keep in mind that tools are not evil, but rather the people running them. Whisker was designed and bred to fulfill a legitimate security assessment need; use for illegal purposes is not intended, nor implied with this tool. »
21 avril 2023 Ingi 2591
Attaque choisie
• FormMail (Matt’s Script Archive)
• Fonctionnement normal :– « ... generic WWW form to e-mail gateway, which will
parse the results of any form and send them to the specified user... »
– Principe• recipient : destinataire et auteur de la page dans une utilisation
normale
• env_report : variables d’environnement transmises à « recipient »
21 avril 2023 Ingi 2591
Attaque choisie : suite
• Fonctionnement détourné :– Envoyer des variables d’environnement à l’attaquant
– Principe• recipient : adresse mail de l’attaquant
• env_report : variables d’environnement transmises à l’attaquant
21 avril 2023 Ingi 2591
Règles proposées
• Alerter chaque requête à FormMail (lien interne vers arachnids)
• alert TCP any any -> $HOME_NET 80 (content: "formmail"; msg: "My-Formmail-Attack"; flags: PA;)
• Alerter chaque requête contenant « env_report »• alert TCP any any -> $HOME_NET 80 (content: "env_report"; msg: "My-Formmail-Env_Report-Attack"; flags: PA;)
21 avril 2023 Ingi 2591
Règle choisie
• Alerter chaque requête à FormMail et contenant « env_report » (lien interne vers arachnids)
• alert tcp any any -> $HOME_NET 80 (content-list: groupe2-list; msg: "My Formmail-Env Attack"; flags: PA;)
• Avec 'groupe2-list' :
#groupe 2
formmail
env_report
#fin groupe 2
21 avril 2023 Ingi 2591
Critique des règles
• Inefficaces contre :– URL encoding
– Session Splicing
• Réponse apportée :– Préprocesseur « HTTP Decode »
– Ajout de la règle existante pour le « session splicing » :• insérer arachnids
21 avril 2023 Ingi 2591
Critique des règles : suite
• recipient• « False positives »
• env_report : alerter chaque fois peut être inutile pour certaines variables d’environnement (REMOTE_HOST…)…
• session splicing : test avec telnet ou fin de fichier
• « False negatives »• Session splicing avec plus de 5 caractères (et maximum de 8)
…
• … mais le nombre de ces caractères peut être revu– si 8, risque d ’augmentation de « false positives »
21 avril 2023 Ingi 2591
Résultats
• Attaque avec tous les modes d’évitement
Détection par Snort de chaque cas en régime isolé