[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Nash Leon nashleon at yahoo.com.br
Thu Nov 19 10:50:12 EST 2009


Prezados, percebam que não se trata de charset mas de expressão regular
(que por default são apenas ASCII). Para usá-las corretamente em um
idioma deve-se usar POSIX... recomendo se informarem antes e testar
pra ver do que estou falando.

Prezado Wagner, sobre os novos ou velhos, eu só testei em novos.:)..
Se voce analisar o próprio modsecurity vai ver que o bypass existe.

Estamos falando de um conceito, de um problema ainda não visualizado
por muita gente(todo mundo?).

Quanto ao que o Spooker escreveu, acho que voce não entendeu direito.
A aplicação após o firewall vai remover os acentos e enviar a query SQL 'sem acentos' para o banco, logo, executando normalmente.

Um cordial abraço,

Nash Leon.


--- Em qui, 19/11/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> escreveu:

> De: Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
> Assunto: Re: [Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass
> Para: "Wagner Elias" <wagner.elias at gmail.com>
> Cc: "Nash Leon" <nashleon at yahoo.com.br>, owasp-brazilian at lists.owasp.org
> Data: Quinta-feira, 19 de Novembro de 2009, 13:40
> Bypass de WAF é algo muito vago.
> 
> Voce usando ele em blacklist como tudo que é signature
> based sempre se
> achara um bypass desde erros de configs a regras mal
> escritas.
> 
> Quanto a WAF mais modernos os mesmo na pratica
> normalizariam o tráfego
> antes de enviar para as assinaturas  e para finalizar,
> qual a função
> de um bypass se o mesmo não realizar nada no banco de
> dados ?
> 
> Por exemplo no MySQL
> 
> mysql> use dvwa
> Reading table information for completion of table and
> column names
> You can turn off this feature to get a quicker startup with
> -A
> 
> Database changed
> 
> mysql> select * from users;
> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
> | user_id | first_name | last_name | user    |
> password
>          | avatar 
>                
>                
>          |
> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
> |       1 | admin   
>   | admin     |
> admin   |
> 5f4dcc3b5aa765d61d8327deb882cf99 |
> http://127.0.0.1/dvwa/hackable/users/admin.jpg   |
> |       2 | Gordon 
>    | Brown     | gordonb
> |
> e99a18c428cb38d5f260853678922e03 |
> http://127.0.0.1/dvwa/hackable/users/gordonb.jpg |
> |       3 | Hack   
>    | Me        |
> 1337    |
> 8d3533d75ae2c3966d7e0d4fcc69216b |
> http://127.0.0.1/dvwa/hackable/users/1337.jpg 
>   |
> |       4 | Pablo   
>   | Picasso   |
> pablo   |
> 0d107d09f5bbe40cade3de5c71e9e9b7 |
> http://127.0.0.1/dvwa/hackable/users/pablo.jpg   |
> |       5 | bob   
>     | smith     | smithy 
> |
> 5f4dcc3b5aa765d61d8327deb882cf99 |
> http://127.0.0.1/dvwa/hackable/users/smithy.jpg 
> |
> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
> 5 rows in set (0,01 sec)
> 
> mysql>
> 
> mysql> SÉLÊCT * FRÔM users;
> ERROR 1064 (42000): You have an error in your SQL syntax;
> check the
> manual that corresponds to your MySQL server version for
> the right
> syntax to use near 'SÉLÊCT d* FRÔM users' at line 1
> 
> Não sei como isso se comporta em outros bancos mas em
> MySQL não rola .
> 
> Abs!
> 
> 
> 
> 2009/11/19 Wagner Elias <wagner.elias at gmail.com>:
> > Fala Nash!
> >
> > Acho que se aplica a WAF mal configurado ou antigo,
> pois os mais
> > recentes suportam sem nenhum problema UTF8.
> >
> > Abs.
> >
> > 2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
> >> Como vai, pessoal?
> >>
> >> Estamos disponibilizando um novo artigo com o
> título -
> >> 'Firewalls de Aplicação WEB, Idiomas e
> Expressões Regulares - Condições de Bypass ' no site do
> intruders. Os interessados podem ler em:
> >>
> >> http://www.intruders.com.br/artigos/waf_bypass_regex.pdf
> >>
> >> Recomendamos aos analistas de teste de intrusão
> de aplicações
> >> WEB analisarem o problema descrito que se trata de
> problemas com
> >> internacionalização comumente encontrados em
> WAFs estrangeiros.
> >>
> >> Um cordial abraço,
> >>
> >> Nash Leon.
> >>
> >>
> >>    
>  ____________________________________________________________________________________
> >> Veja quais são os assuntos do momento no Yahoo!
> +Buscados
> >> http://br.maisbuscados.yahoo.com
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>
> >
> >
> >
> > --
> > Wagner Elias - OWASP Leader Project Brazil
> >
> ------------------------------------------------------------------
> > Twitter: www.twitter.com/welias
> > Blog: http://wagnerelias.com
> > Profile: http://www.linkedin.com/in/wagnerelias
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> 
> 
> 
> -- 
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.twitter.com/spookerlabs
> http://www.linkedin.com/in/spooker
> 


      ____________________________________________________________________________________
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


More information about the Owasp-brazilian mailing list