[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02018] Re: snort IIS Unicode attack 　 signature

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:02018] Re: snort IIS Unicode attack 　 signature
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 08 Mar 2001 14:00:54 +0900

  こんにちは
  ホワイトデーの贈り物は決まりましたか？
  こだわりのお花を集めてみました。
  手書きのメッセージを添えてあなたの気持ちを伝えます。
         http://www.kadan.ne.jp/bn.cgi?info03 
------------------------------------------------------------------------


Port139 伊原です。

自分でテストしてみましたが、-unicode した場合には WEB-MISC 403
Forbidden と WEB-MISC http directory traversal が検知されるだ
けのようですね。

-unicode した場合でも、UNICODE 系の攻撃を検知するにはどうする
べきか...

On Thu, 08 Mar 2001 13:28:16 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

>UNICODE のアタックって web-iis.rules の以下のルールでも検知で
>きるんでしたっけ？
>
>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
>(msg:"WEB-IIS cmd? acess";flags: A+; content:".cmd?&"; nocase;) 
>
> -unicode した時に、UNICODE 攻撃をどう検知するかなんですけど、
>基本的には cmd.exe を呼び出すはずなのでこっちでひっかければい
>いのかなぁなんて個人的には考えてるんですけど、甘いっすかね？

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [connect24h:02014] Re: snort IIS Unicode attack 　signature
  - From: DANNA
- [connect24h:02016] Re: snort IIS Unicode attack 　 signature
  - From: Hideaki Ihara

Prev by Date: [connect24h:02017] Re: snort IIS Unicode attack 　 signature
Next by Date: [connect24h:02019] Re: snort IIS Unicode attack 　signature
Previous by thread: [connect24h:02042] Re: snort IIS Unicode attack signature
Next by thread: [connect24h:02019] Re: snort IIS Unicode attack 　signature
Index(es):
- Date
- Thread

[connect24h:02018] Re: snort IIS Unicode attack signature

[connect24h:02018] Re: snort IIS Unicode attack 　 signature