首页 -> 安全研究

安全研究

安全漏洞
多种IDS产品对IIS宽字符编码攻击检测失效

发布日期:2001-09-05
更新日期:2001-09-13

受影响系统:

Cisco Catalyst 6000 IDS Module
Cisco Secure IDS Host Sensor 2.0
Cisco Secure IDS Network Sensor 3.0
Enterasys Dragon IDS 4.0
ISS RealSecure Network Sensor 6.0
ISS RealSecure Network Sensor 5.5.2
ISS RealSecure Network Sensor 5.5.1
ISS RealSecure Network Sensor 5.5
ISS RealSecure Network Sensor 5.0
ISS RealSecure Server Sensor 6.0 Win
ISS RealSecure Server Sensor 5.5.2 Win
ISS RealSecure Server Sensor 5.5.1 Win
ISS RealSecure Server Sensor 5.5 Win
ISS RealSecure Server Sensor 5.0 Win
Martin Roesch Snort 1.8
Martin Roesch Snort 1.7
Martin Roesch Snort 1.6.3
Martin Roesch Snort 1.6.2
Martin Roesch Snort 1.6.1
Martin Roesch Snort 1.6
Martin Roesch Snort 1.5.2
Martin Roesch Snort 1.5.1
Martin Roesch Snort 1.5
NFR Network Intrusion Detection 5.0
不受影响系统:

Cisco Secure IDS Network Sensor 3.0(2)S6
Computer Associates eTrust Intrusion Detection 1.5
Computer Associates eTrust Intrusion Detection 1.4.5
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
Enterasys Dragon IDS 5.0
ISS RealSecure Server Sensor 6.0.1 Win
Martin Roesch Snort 1.8.1
描述:

BUGTRAQ ID : 3292

微软IIS web服务器支持一种非标准的web请求编码方式,这种编码方式是宽字符编码。由
于这种编码方式是非标准的,很多入侵检测系统都不能识别使用这种方法编码进行的攻击。

这种问题只影响那些支持"%u"编码的web服务器,例如IIS。

BlackICE在碰到"%u"编码时即报无效,但没有对其进行解码,然后进行攻击匹配。


<*来源:Marc Maiffret (marc@eeye.com)
  链接:http://www.eeye.com/html/Research/Advisories/AD20010705.html
        http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml
        http://xforce.iss.net/alerts/advise95.php
*>


测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!


例如,使用下列的编码方式就可以绕过很多IDS对".ida"的攻击的检测。

GET /himom.id%u0061 HTTP/1.0

建议:

厂商补丁:

1. Snort

  Snort 1.8.1已经修复了这个漏洞:
  http://www.snort.org/releases/snort-1.8.1-RELEASE.tar.gz
  
2. ISS RealSecure
   
   RealSecure Network Sensor 5.x, 6.x:  
     安装 XPU 3.2:  http://www.iss.net/db_data/xpu/RS.php
   RealSecure Server Sensor 5.5:        
     安装补丁:http://www.iss.net/eval/eval.php
   RealSecure Server Sensor 6.0:  
     升级到Server Sensor 6.0.1
     
3. Enterasys Dragon IDS:
   
   升级到Dragon IDS 5.0:
   http://dragon.enterasys.com
   
4. Cisco Secure IDS

  ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSk9-sp-3.0-1.43-S6-0.43-.bin
  


浏览次数:6067
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客