盗墓笔记小说全集,完美世界辰东,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

IPS攻擊規(guī)避技術(shù)之URL混淆

IPS作為企業(yè)防護(hù)系統(tǒng)，也如同傳統(tǒng)防護(hù)系統(tǒng)IDS一樣，并非是牢不可破的。通過TCP/IP協(xié)議IPS處理機(jī)制問題的漏洞和RPC協(xié)議進(jìn)行IPS攻擊規(guī)避是常見的攻擊規(guī)避方式。而本篇文章所要介紹的通過URL混淆方式來實(shí)施IPS攻擊規(guī)避是通過IPS產(chǎn)品的URL過濾機(jī)制的漏洞所實(shí)現(xiàn)的。

創(chuàng)新互聯(lián)長(zhǎng)期為成百上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為安康企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站，安康網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

這類規(guī)避方式主要包括如下幾種：

采用轉(zhuǎn)義符“%”將字符用16進(jìn)制表示

采用轉(zhuǎn)義符“%u”將字符用UNICODE方式表示
?
隨機(jī)插入“//”，“/./”和“”字符
?
隨機(jī)變換大小寫
?
用tab符（0x09或0x0b）或回車符（0x0d）做分隔符
?
加入干擾字符串

以CVE-1999-0070為例，該漏洞產(chǎn)生原因是NCSA HTTPd和早期的Apache Web Server自帶了一個(gè)名為“test-cgi”的Shell CGI腳本，通常位于“/cgi-bin”目錄，用于測(cè)試Web服務(wù)的配置是否已經(jīng)可以正常地使用CGI腳本。test-cgi腳本的實(shí)現(xiàn)上存在輸入驗(yàn)證漏洞，遠(yuǎn)程攻擊者可能利用此漏洞遍歷主機(jī)的目錄，查看目錄下的內(nèi)容，因此檢測(cè)該攻擊的特征碼一般包含“cgi-bin/test-cgi”這個(gè)字符串，該攻擊概念驗(yàn)證（PoC）如下：

GET /cgi_bin/test-cgi?/* HTTP/1.1

對(duì)該P(yáng)oC的URL進(jìn)行混淆后可以得到如下所示的URL格式：

、

不幸的是這些混淆后的形式都是WEB服務(wù)器可接受的，顯然要避免這種攻擊的漏報(bào)，IPS就不能在原始URL中進(jìn)行特征匹配操作，而應(yīng)先對(duì)URL進(jìn)行恢復(fù)和整理后再進(jìn)行規(guī)則檢測(cè)等操作。

【編輯推薦】

IPS攻擊規(guī)避技術(shù)之RPC協(xié)議規(guī)避
IPS攻擊規(guī)避技術(shù)之TCP/IP協(xié)議規(guī)避
簡(jiǎn)述如何直接或間接攻擊NIDS
黑客針對(duì)木馬及幾種罕見途徑繞過IDS
黑客針對(duì)緩沖區(qū)溢出繞過IDS的方式

分享標(biāo)題：IPS攻擊規(guī)避技術(shù)之URL混淆
網(wǎng)站路徑：http://fisionsoft.com.cn/article/dhjgspo.html

新聞中心

其他資訊