[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:02018] Re: snort IIS Unicode attack signature
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:02018] Re: snort IIS Unicode attack signature
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Thu, 08 Mar 2001 14:00:54 +0900
こんにちは
ホワイトデーの贈り物は決まりましたか?
こだわりのお花を集めてみました。
手書きのメッセージを添えてあなたの気持ちを伝えます。
http://www.kadan.ne.jp/bn.cgi?info03
------------------------------------------------------------------------
Port139 伊原です。
自分でテストしてみましたが、-unicode した場合には WEB-MISC 403
Forbidden と WEB-MISC http directory traversal が検知されるだ
けのようですね。
-unicode した場合でも、UNICODE 系の攻撃を検知するにはどうする
べきか...
On Thu, 08 Mar 2001 13:28:16 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
>UNICODE のアタックって web-iis.rules の以下のルールでも検知で
>きるんでしたっけ?
>
>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
>(msg:"WEB-IIS cmd? acess";flags: A+; content:".cmd?&"; nocase;)
>
> -unicode した時に、UNICODE 攻撃をどう検知するかなんですけど、
>基本的には cmd.exe を呼び出すはずなのでこっちでひっかければい
>いのかなぁなんて個人的には考えてるんですけど、甘いっすかね?
---
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/