banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: docphongm41  XML
Profile for docphongm41 Messages posted by docphongm41 [ number of posts not being displayed on this page: 0 ]
 
Hi all.
Em đang maintain một hệ thống Linux cài cluster content Oracle UCM, hiện tại trên đó sử dụng phân vùng NFS để cho content server hoạt động. Trong đó phần content được mount như bình thường với các tùy chọn mặc định, còn một phân vùng dùng cho các thông tin cấu hình được mount với tùy chọn nolock, noac để disable sharing và disable lock.
Với nhu cầu chuyển sang hệ thống cài Solaris 10, được cấp phát hai phân vùng UFS trên SAN tương tự, nhưng em không tìm được tùy chọn nào tương ứng với 2 tùy chọn kia cho UFS. Rất mong các bạn, các anh chia sẻ kinh nghiệm và gợi ý giúp em tình huống này.

Xin cảm ơn mọi người.

conmale wrote:
Tớ hơi thắc mắc vài điểm.

2. Nếu "response trả về sẽ là một tcp RST" thì hơi khó hiểu vì RST là một packet ở IP level thì làm sao lại hình thành được cái response với status 200?

 

Trong response trên, như bác đã thấy, connection: close. Do đó rõ ràng là ASM đã notify rằng kết nối tcp sẽ được đóng ngay khi response này hoàn thành. Như vậy có lẽ là sau khi ASM gửi lại http response trên, firewall sẽ gửi tiếp một tcp RST để ngắt kết nối của client hiện tại này.
Lập luận của em có bị sai không ạ smilie
Hi anh conmale.
Anh thông cảm vì em mô tả hơi vắn tắt ạ.
1. Việc detect XSS được thực hiện bởi các attack-signatures (tương tự như các tập SecRule của ModSecurity). Hiện tại, các attack-signature này hoạt động đúng, tức là phát hiện và chặn được các inbound request, không tới được web server. Thay vào đó sẽ trả về một response page có nội dung như post đầu tiên em trình bày.
Như vậy, em kết luận một cách chủ quan đó là việc chặn các fuzzing request được thực hiện thành công.

Tuy nhiên, với mục tiêu sử dụng Acunetix để có report cho các thủ tục bảo hành/bảo trì thì đòi hỏi tool đó phải không ghi nhận các kết quả alert ở mức High.

Với những request của tool này, em đã từng dùng ModSecurity (cho website khác) thực hiện cản với việc trả về mã 403 Forbidden thì Acunetix nó ghi nhận là test case đó fail, tức là không có lỗi tiềm ẩn ở đó. Tuy nhiên, với việc BigIP ASM trả về thông điệp 200 OK như trên thì Acunetix vẫn xem đó là lỗi.

Trên đây là suy luận của em, còn không có tài liệu nào công khai nói về cách thức Acunetix đánh giá với response như thế nào thì coi là có lỗi bảo mật.

2. Em đã không đọc kỹ và ghi chú lại cái tài liệu đã đọc nên cũng không trình bày lại được về nội dung này. Còn đúng là với trình bày của em ở post 1 thì đúng là vô lý, khi rst đã gửi mà vẫn gửi lại được một http message. Về đoạn trình bày liên quan này em xin anh và mọi người bỏ qua ạ.
Hi all.
Mình đang cấu hình module ASM của thiết bị F5 BigIP bên phía khách hàng. ASM là một WAF đi kèm theo firewall này. Trong quá trình cấu hình, định kỳ phải gửi các bản scan security hole về cho khách hàng.

Trên ASM, các cấu hình hiện thời đã chặn được các request có dấu hiệu thăm dò XSS, kết quả trả về có dạng sau, là thông điệp cảnh báo của ASM
Code:
<html><head><title>Request Rejected</title></head><body>The requested URL was rejected. Please consult with your administrator.<br><br>Your support ID is: 12589574903111794332</body></html>


Tuy nhiên, response trả về sẽ là một tcp RST và Acunetix 8.0 nhận được response header như sau:
Code:
HTTP/1.1 200 OK
Cache-Control: no-cache
Connection: close
Pragma: no-cache
Content-Length: 189

Mình nghĩ, với các HTTP code 200 như trên là lý do Acunetix vẫn cho rằng, request fuzzing nó gửi đi thành công và có thể exploit được, do đó trong kết quả nó vẫn liệt kê đó là một sec hole.

Trong báo cáo thì mình muốn nó "sạch", tức là không có report "nhầm" như đề cập ở trên. Các anh/chị hay bạn nào có kinh nghiệm làm việc với F5-ASM thì cho mình chỉ dẫn khắc phục với.
Có thể cấu hình chỉnh sửa HTTP response thành 403 hay không?
Nếu không, có thể drop cái response này không ?
Nếu vẫn không, thì còn có giải pháp nào khác ?

Xin cảm ơn mọi người.
Hi mọi người.
Em đang thử thực hành bài học Http splitting trong WebGoat và đang mắc ở một điểm. Đó là em muốn tính thủ công giá trị cho Http Header Content-Length. Em tìm kỹ lại trong đặc tả về header đó và xem các lời giải cũng như các minh hoạ khác nhưng chưa tìm ra được cách nào đó để tính toán một cách thủ công.

Ví dụ với một HTTP response có nội dung phần thân là <html>Please wait</html> thì liệu giá trị của Content-Length có phải là 24 hay không? Trong đó, nội dung của response đầy đủ như sau:

Code:
HTTP/1.1 200 OK
Content- Type: text/html
Content-Length: 100
<html>Please wait</html>]
(linux)

Theo định nghĩa:
Code:
The Content-Length entity-header field indicates the size of the entity-body, in decimal number of OCTETs, sent to the recipient or, in the case of the HEAD method, the size of the entity-body that would have been sent had the request been a GET.


Câu hỏi thứ 2 em xin hỏi là, nếu như giá trị Content-Length em tính sai, cụ thể hơn là lớn hơn con số thực tế, thì nội dung thông điệp mà em chèn vào ví dụ như chuỗi html trên kia có được hiển thị hay không?

Xin cảm ơn mọi người đã lưu tâm và mong nhận được chia sẻ smilie

myquartz wrote:
Thêm mấy câu này vào httpd.conf thử xem:

Code:
RewriteEngine On
RewriteCond %{HTTP_HOST} !^your\.domain\.com\.vn$
RewriteRule ^/(.*)$ http://your.domain.com.vn/$1 [last,wwwect=301]
 


Cảm ơn bác mquartz, em đã thử như sau:
Code:
RewriteCond %{HTTP_HOST} !^www\.abc\.gov\.vn
RewriteCond %{HTTP_HOST} !^$
RewriteRule ^/(.*)$ http://www.abc.gov.vn/$1 [last,wwwect=301]

Kết quả là:
- Có thể tự wwwect với trường hợp test.xyz, trong đó test.xyz trỏ tới IP của webserver của site thật
- Tuy nhiên, nếu nhập thẳng test.xyz/folder/content thì url vẫn không bị rewrite và vẫn hiển thị nội dung y như nội dung của www.abc.gov.vn/folder/content

Không biết pattern của em còn thiếu chỗ nào bác nhỉ ?
Kính chào mọi người.

Em có một thắc mắc rất muốn xin chỉ giáo của mọi người. Sự thể là thế này, bên em có một domain dạng xyz.vn, như bình thường thì các truy cập từ trình duyệt tới địa chỉ này đều bình thường. Vấn đề phát sinh là ở chỗ:
Nếu một người dùng tự đặt một entry trong file hosts của họ ví dụ như IP_NUMBER -> hacked.net. Trong đó IP_NUMBER là IP của webserver của em. Thì lúc này, khi người dùng đó truy cập tới hacked.net nó sẽ tương tự như site của em, nội dung như nhau, cái này thì quá đơn giản, mọi người chắc đều hiểu.

Vấn đề nảy sinh ở chỗ, tên user này chụp lại màn hình rồi bù lu bù loa lên và gửi tới sếp bên em. Mấy sếp không rành nên đề nghị khắc phục việc này, vì Google và Yahoo! đều không xảy ra chuyện này được.

Em đã thử đặt một Rule ở ModSecurity dạng sau:

SecRule SERVERNAME !(xyz.vn) "log,wwwect:http://xyz.vn"

Nhưng không thành công, tại browser của người dùng vẫn hiển thị domain name là hacked.net.

Em xin hỏi mọi người cách khắc phục tình trạng này thế nào ạ?

Cảm ơn mọi người trước.

Regards
haizz, 51 view rồi mà không ai để lại cao kiến nào; Các anh em ơi, đây là một bài toán exploit rất thực tế mà.
Xin kính chào mọi người, mình đang làm bài luận về sql injection, sau khi tham khảo một số tài liệu, đọc đến đoạn tác giả minh hoạ một Procedure trong mysql dạng như sau:

Code:
delimiter /
create procedure sp_test (input varchar(30))
begin
set @param = input;
set @sql = concat('select count(*) from tbl_name where col_name like ''',@param,'%''');
prepare stmt from @sql;
execute stmt;
deallocate prepare stmt;
end
/


thông thường theo các khuyến cáo, xét về mặt viết code thì việc sử dụng prepared query có thể coi là tuơng đối an toàn. Mặc dù trong đoạn mã trên có thực hiện prepare truy vấn, nhưng đối số vẫn được nối trực tiếp vào truy vấn trước khi truy vấn được thực hiện prepare. Do đó rõ ràng (theo cách hiểu của mình) truy vấn đó không đạt được mục tiêu viết 1 lần, chạy nhiều lần (không cần tối ưu lại) của mô hình tham số hoá truy vấn.

Tác giả nói, đoạn code trên vẫn dễ bị tấn công. Mình đã thử nhiều cách để có minh hoạ chứng minh, nhưng vẫn chưa tìm được tham số nào có thể exploit cái lỗi mà tác giả nói.

Mong mọi người xem giùm và cho mình ý kiến với, xin chân thành cảm ơn. Thời gian gấp quá rồi smilie

ps: khi gọi call sp_test với lời gọi: call sp_test('a' or 1=1--') thì chắc chắn không exploit thành công nhé.

Long_Tecole wrote:
... có thể vi mạch điện tử trong đó bi ăn mất khá nhiều, cách tốt nhất là nên ghost lại từ máy tính, vì mình có nghe thầy giáo mình nói phong phanh: " có thể dùng đĩa ghost đã được cài đặt sẵn để đi ghost các máy tính khác, đỡ tốn thời gian, tương tự, cũng có thể áp dụng cho USB ".công..thân!..^_^[b] 
Bạn nói chưa chính xác, loại nguy hiểm nhất cũng chỉ có thể thâm nhập vào phần sụn của device (tức là firmware)chứ không thể ăn nổi vi mạch đâu. smilie . Việc mở Folder option lên để diệt file autorun.inf cũng không thể khả thi nếu chưa diệt được con virut trong đó, vì nếu chưa diệt được nó sẽ lại tự sinh ra autorun. Thêm vào đó nếu mang qua máy khác mà không format được thì thử cắm vào máy nào có cài vista xem nó có thể check và fix error không, nếu được thì sau đó format. Ngoài ra USB toolbox cũng dùng được. Túm lại là mang cả HDD sang máy nào có antivir xịn quét sạch cả USB và HDD.
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|