banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell  XML
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 06/12/2010 18:31:53 (+0700) | #1 | 226492
brain.vn
Member

[Minus]    0    [Plus]
Joined: 02/10/2010 04:30:32
Messages: 25
Offline
[Profile] [PM]
xin chào anh chị em.
Thời gian qua em đang nghiên cứu về snort nhưng có một số vấn đề test thứ hệ thống snort nó không ngăn chặn được.
Nên mong anh chị em giúp đỡ.
vấn đề của em vướng mắc là như thể này.
em thứ tấn công web lỗi xss, sqlinjection và thứ uploadshell qua con snort_inline nhưng nó ko chặn được. bây giờ em nghiên cứu mà ko biết viết rule như thể nào để chặn được.
Mô hình cụ thể của em xây dựng là như sau:

ATTACKER------> INTERNET<------->SNORT_INLINE<----------->WEB SERVER

rất mong được sự giúp đỡ của anh chị em.
xin cám ơn anh chị em rất nhiều.
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 06/12/2010 19:32:40 (+0700) | #2 | 226496
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

brain.vn wrote:
xin chào anh chị em.
Thời gian qua em đang nghiên cứu về snort nhưng có một số vấn đề test thứ hệ thống snort nó không ngăn chặn được.
Nên mong anh chị em giúp đỡ.
vấn đề của em vướng mắc là như thể này.
em thứ tấn công web lỗi sqlinjection và thứ uploadshell qua con snort_inline nhưng nó ko chặn được. bây giờ em nghiên cứu mà ko biết viết rule như thể nào để chặn được.
Mô hình cụ thể của em xây dựng là như sau:

ATTACKER------> INTERNET<------->SNORT_INLINE<----------->WEB SERVER

rất mong được sự giúp đỡ của anh chị em.
xin cám ơn anh chị em rất nhiều. 


Bạn nên tìm hiểu kỹ Snort là gì? Nó có khả năng làm những gì?
Không thể tạo một rule cho Snort khi mà không có signature! Chính vì vậy bạn phải phân tích các packets khi cuộc tấn công xảy ra, từ đó nhận định các signature để hình thành rule cho Snort. Tại trang chủ của Snort cũng cung cấp ruler phát hiện SQL injection và upload shell. Tuy nhiên nó có phát hiệu quả hay không thì mình không chắc smilie
Bộ rule của Snort bạn có thể download tại:
http://www.snort.org/snort-rules/#rules
hoặc tại http://www.mediafire.com/?fhr8hp6pof4kq8n

- Ky0 -

UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 06/12/2010 19:55:45 (+0700) | #3 | 226497
brain.vn
Member

[Minus]    0    [Plus]
Joined: 02/10/2010 04:30:32
Messages: 25
Offline
[Profile] [PM]

Ky0 wrote:

brain.vn wrote:
xin chào anh chị em.
Thời gian qua em đang nghiên cứu về snort nhưng có một số vấn đề test thứ hệ thống snort nó không ngăn chặn được.
Nên mong anh chị em giúp đỡ.
vấn đề của em vướng mắc là như thể này.
em thứ tấn công web lỗi sqlinjection và thứ uploadshell qua con snort_inline nhưng nó ko chặn được. bây giờ em nghiên cứu mà ko biết viết rule như thể nào để chặn được.
Mô hình cụ thể của em xây dựng là như sau:

ATTACKER------> INTERNET<------->SNORT_INLINE<----------->WEB SERVER

rất mong được sự giúp đỡ của anh chị em.
xin cám ơn anh chị em rất nhiều. 


Bạn nên tìm hiểu kỹ Snort là gì? Nó có khả năng làm những gì?
Không thể tạo một rule cho Snort khi mà không có signature! Chính vì vậy bạn phải phân tích các packets khi cuộc tấn công xảy ra, từ đó nhận định các signature để hình thành rule cho Snort. Tại trang chủ của Snort cũng cung cấp ruler phát hiện SQL injection và upload shell. Tuy nhiên nó có phát hiệu quả hay không thì mình không chắc smilie
Bộ rule của Snort bạn có thể download tại:
http://www.snort.org/snort-rules/#rules
hoặc tại http://www.mediafire.com/?fhr8hp6pof4kq8n

- Ky0 -

 


thank bạn đã góp ý. nhưng số rule mặc định này ko ăn thua bạn ah? cho nên mình mới thiết lập rules thêm để có thể chống được. Vì các rules mặc định thì mình cũng đã aad vào rồi nhưng ko chống lại được.
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 06/12/2010 20:01:04 (+0700) | #4 | 226498
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

brain.vn wrote:


thank bạn đã góp ý. nhưng số rule mặc định này ko ăn thua bạn ah? cho nên mình mới thiết lập rules thêm để có thể chống được. Vì các rules mặc định thì mình cũng đã aad vào rồi nhưng ko chống lại được. 


Các Rule mặc định nó chỉ đưa ra cảnh báo và log lại thôi, nếu bạn muốn chặn thì phải điều chỉnh lại cho phù hợp.

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 07/12/2010 16:16:57 (+0700) | #5 | 226569
brain.vn
Member

[Minus]    0    [Plus]
Joined: 02/10/2010 04:30:32
Messages: 25
Offline
[Profile] [PM]

Ky0 wrote:

Các Rule mặc định nó chỉ đưa ra cảnh báo và log lại thôi, nếu bạn muốn chặn thì phải điều chỉnh lại cho phù hợp.

- Ky0 - 




Nhưng mình tìm mãi trong tập rules thì ko thấy rules nào là dùng để alert hay logs hay drop về sqlinjection và upload shell cá. thế mới oái ăm chữ. Nếu bạn biết thì chỉ giúp mình với.
thank bạn nhìu.
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 16/12/2010 00:34:59 (+0700) | #6 | 227213
brain.vn
Member

[Minus]    0    [Plus]
Joined: 02/10/2010 04:30:32
Messages: 25
Offline
[Profile] [PM]
Đã hơn một tuần rồi mà ko có ai giúp em với.
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 17/12/2010 10:17:24 (+0700) | #7 | 227329
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

brain.vn wrote:

em thứ tấn công web lỗi xss, sqlinjection và thứ uploadshell qua con snort_inline nhưng nó ko chặn được. bây giờ em nghiên cứu mà ko biết viết rule như thể nào để chặn được.
 

Bạn tấn công SQL Injection, XSS và upload shell như nào vậy?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 05/01/2011 23:01:41 (+0700) | #8 | 228809
brain.vn
Member

[Minus]    0    [Plus]
Joined: 02/10/2010 04:30:32
Messages: 25
Offline
[Profile] [PM]

quanta wrote:

Bạn tấn công SQL Injection, XSS và upload shell như nào vậy? 


Mình tấn công theo mô hình như sau.

Client ----> snort_inline<---->dịch vụ web (mình cài kloxo và cấu hình và upload 1 trang web bị lỗi lên bình thường.)

nói chung dịch vụ web ko khác gì ngoài thực tế cá. smilie)

[Up] [Print Copy]
  [Question]   Tạo Rule SNORT_INLINE để chống sqlinjection và upload shell 05/01/2011 23:10:20 (+0700) | #9 | 228812
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Có vẻ bạn vẫn chưa nắm được cái ý chủ đạo, đó là: cần phải biết signature thì mới viết được rules.
Let's build on a great foundation!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|