使用%u 编码可以绕过IDS检查发布时间:2001-09-06 更新时间:2001-09-06 严重程度:中 威胁程度:欺骗 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Cisco Secure Intrusion Detection System, formerly known as NetRanger, Sensor详细描述 入侵检测系统最基本的功能就必须能对各种HTTP编码请求进行解码,如UTF和 HEX编码。多数商业和免费的IDS有能力解码这些请求来分析是否是攻击字符串。 主流的编码了的URL基本是UTF (%xx%xx) 或者是明文的HEX编码(%xx),这里的XX 是十六进制值。不过有一种不同类型的编码如%u编码,是用来代表Unicode/wide 特征字符。由于%u编码不是标准的编码,IDS系统不能解码%u,所以可以绕过 IDS的检测系统,一个真实的例子就是Codered蠕虫。 测试代码 见描述部分。 解决方案 Cisco Secure PIX Firewall 请查看如下信息保护CISCO产品: http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-v uln-pub.shtml." ISS(Internet Security Systems) RealSecure Network Sensor 请下载XPU3.2 http://www.iss.net/db_data/xpu/RS.php DragonIDS 请使用5.0版本: http://dragon.enterasys.com snort请使用1.8.1版本: http://snort.sourcefire.com/ 相关信息 |
