IPS攻击规避技术之URL混淆

安全
黑客总是不缺乏挑战心态,作为传统安全防护系统的晋升品,黑客已经可以通过RPC协议的漏洞和TCP/IP处理机制的漏洞实施IPS攻击规避,本文要讲述的是另一种IPS攻击规避渠道,通过URL混淆方式实施规避。

IPS作为企业防护系统,也如同传统防护系统IDS一样,并非是牢不可破的。通过TCP/IP协议IPS处理机制问题的漏洞和RPC协议进行IPS攻击规避是常见的攻击规避方式。而本篇文章所要介绍的通过URL混淆方式来实施IPS攻击规避是通过IPS产品的URL过滤机制的漏洞所实现的。

这类规避方式主要包括如下几种:

采用转义符“%”将字符用16进制表示

采用转义符“%u”将字符用UNICODE方式表示

随机插入“//”,“/./”和“”字符

随机变换大小写

用tab符(0x09或0x0b)或回车符(0x0d)做分隔符

加入干扰字符串

以CVE-1999-0070为例,该漏洞产生原因是NCSA HTTPd和早期的Apache Web Server自带了一个名为“test-cgi”的Shell CGI脚本,通常位于“/cgi-bin”目录,用于测试Web服务的配置是否已经可以正常地使用CGI脚本。test-cgi脚本的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞遍历主机的目录,查看目录下的内容,因此检测该攻击的特征码一般包含“cgi-bin/test-cgi”这个字符串,该攻击概念验证(PoC)如下:

GET /cgi_bin/test-cgi?/* HTTP/1.1

对该PoC的URL进行混淆后可以得到如下所示的URL格式:

 

IPS攻击规避技术之URL混淆

不幸的是这些混淆后的形式都是WEB服务器可接受的,显然要避免这种攻击的漏报,IPS就不能在原始URL中进行特征匹配操作,而应先对URL进行恢复和整理后再进行规则检测等操作。
 

 

【编辑推荐】

  1. IPS攻击规避技术之RPC协议规避
  2. IPS攻击规避技术之TCP/IP协议规避
  3. 简述如何直接或间接攻击NIDS
  4. 黑客针对木马及几种罕见途径绕过IDS
  5. 黑客针对缓冲区溢出绕过IDS的方式

 

责任编辑:张启峰 来源: ZDNET安全频道
相关推荐

2010-09-08 17:11:32

2010-09-08 16:23:22

2010-09-08 16:09:02

2010-07-28 16:40:38

2012-02-01 09:36:00

2016-12-13 22:38:40

2009-11-10 14:12:20

2011-08-31 13:41:46

2016-10-30 23:39:52

2009-11-09 10:15:10

2023-11-23 19:07:33

2009-11-05 18:37:11

2015-01-28 11:19:59

2012-10-08 09:42:41

2010-09-08 20:20:39

2023-08-02 19:51:33

2023-08-07 15:43:55

2009-02-24 09:34:00

2009-09-17 16:58:21

2014-11-10 10:44:16

点赞
收藏

51CTO技术栈公众号