[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Thu Nov 19 10:40:11 EST 2009


Bypass de WAF é algo muito vago.

Voce usando ele em blacklist como tudo que é signature based sempre se
achara um bypass desde erros de configs a regras mal escritas.

Quanto a WAF mais modernos os mesmo na pratica normalizariam o tráfego
antes de enviar para as assinaturas  e para finalizar, qual a função
de um bypass se o mesmo não realizar nada no banco de dados ?

Por exemplo no MySQL

mysql> use dvwa
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed

mysql> select * from users;
+---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
| user_id | first_name | last_name | user    | password
         | avatar                                           |
+---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
|       1 | admin      | admin     | admin   |
5f4dcc3b5aa765d61d8327deb882cf99 |
http://127.0.0.1/dvwa/hackable/users/admin.jpg   |
|       2 | Gordon     | Brown     | gordonb |
e99a18c428cb38d5f260853678922e03 |
http://127.0.0.1/dvwa/hackable/users/gordonb.jpg |
|       3 | Hack       | Me        | 1337    |
8d3533d75ae2c3966d7e0d4fcc69216b |
http://127.0.0.1/dvwa/hackable/users/1337.jpg    |
|       4 | Pablo      | Picasso   | pablo   |
0d107d09f5bbe40cade3de5c71e9e9b7 |
http://127.0.0.1/dvwa/hackable/users/pablo.jpg   |
|       5 | bob        | smith     | smithy  |
5f4dcc3b5aa765d61d8327deb882cf99 |
http://127.0.0.1/dvwa/hackable/users/smithy.jpg  |
+---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
5 rows in set (0,01 sec)

mysql>

mysql> SÉLÊCT * FRÔM users;
ERROR 1064 (42000): You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right
syntax to use near 'SÉLÊCT d* FRÔM users' at line 1

Não sei como isso se comporta em outros bancos mas em MySQL não rola .

Abs!



2009/11/19 Wagner Elias <wagner.elias at gmail.com>:
> Fala Nash!
>
> Acho que se aplica a WAF mal configurado ou antigo, pois os mais
> recentes suportam sem nenhum problema UTF8.
>
> Abs.
>
> 2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
>> Como vai, pessoal?
>>
>> Estamos disponibilizando um novo artigo com o título -
>> 'Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass ' no site do intruders. Os interessados podem ler em:
>>
>> http://www.intruders.com.br/artigos/waf_bypass_regex.pdf
>>
>> Recomendamos aos analistas de teste de intrusão de aplicações
>> WEB analisarem o problema descrito que se trata de problemas com
>> internacionalização comumente encontrados em WAFs estrangeiros.
>>
>> Um cordial abraço,
>>
>> Nash Leon.
>>
>>
>>      ____________________________________________________________________________________
>> Veja quais são os assuntos do momento no Yahoo! +Buscados
>> http://br.maisbuscados.yahoo.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>
>
>
> --
> Wagner Elias - OWASP Leader Project Brazil
> ------------------------------------------------------------------
> Twitter: www.twitter.com/welias
> Blog: http://wagnerelias.com
> Profile: http://www.linkedin.com/in/wagnerelias
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.twitter.com/spookerlabs
http://www.linkedin.com/in/spooker


More information about the Owasp-brazilian mailing list