Temat: Systemy wykrywania włamań vs ataki na aplikacje WWW

Witam,
Temat słabej skuteczności systemów IDS/IPS w kontekście aplikacji jest często poruszany.

W celu lepszego zrozumienia na czym polegaja takie słabości zapraszam do zapoznania się z naszymi ostatnimi testami. Dotyczą one słabości wykrywania ataków SQL Injection przez system jednego ze światowych liderów producentów IPS na świecie (komercyjne rozwiązanie).

W testach opisana została słabość polegająca na niewykryciu ataku, który może skompromitować system.

Zapraszam do lektury:
http://venturolab.pl/index.php/2009/12/19/juniper-nets...

Pozdrawiam,
Jacek Włodarczyk

Temat: Systemy wykrywania włamań vs ataki na aplikacje WWW

w mssql-u można wywołać procedurę na kilka sposobów, jednym z nich jest exec - tego brakuje -, inne to execute

Temat: Systemy wykrywania włamań vs ataki na aplikacje WWW

W systemie IPS którego dotyczy opis jest znacznie więcej sygnatur - są tam dedykowane do systemu bazodanowego MSSQL ale właśnie dedykowane, czyli stworzone dokładnie do tego systemu wzorce określonych poleceń :)

'Nieszczelność', która została opisana jest 'uniwersalna', tzn. jeśli mam serwer MSSQL, Oracle, itp. i zastosuję do tych systemów odpowiednie dedykowane sygnatury oraz opisane sygnatury - pokazany atak w dalszym ciągu się powiedzie.

Pokazany atak skierowany na aplikację nie wykorzystuje żadnych specyficznych funkcjii występujących dla danego rozwiązania DBMS, przez co jest bardziej uniwersalny i jako taki powinien być powstrzymany.

Opis wszystkich dedykowanych sygnatur tylko niepotrzebnie zaciemniłby istotę problemu.

BTW - W sygnaturach 2,3,4 mamy wyłapywane execute ;)

Pozdrawiam,
JWJacek Włodarczyk edytował(a) ten post dnia 19.12.09 o godzinie 22:46