[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Thu Nov 19 10:58:50 EST 2009


Quanto ao MySQL ia escrever novamente pois  li pelos cantos e falei bobeira =)

Mas comentando sobre o Imperva no caso

When a service is installed, it is automatically configured with a
default character set (Western European
(windows). This must be changed if your server is using a character
set other than this default. Additionally,
SecureSphere has built in support for UTF-8 character sets. So for
example, if your server uses both UTF-8
and Japanese, you would configure the SecureSphere character set as
Japanese, because UTF-8 is provided
by built-in support. SecureSphere does not support UTF-7.

Sinceramente não tenho alguma box para fazer tests e analisar.

Mas como disse, signature base ainda mais em WEB tende a morrer (se
voce quiser REALMENTE segurança no WAF) , profiling e whitelist que
seria o mundo ideal mas o trabalho que da pra configurar isso faz com
que empresas não configurem da forma correta .

De qualquer forma Database Monitoring  cobriria facilmente isso =)


Abs!

2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
> Prezados, percebam que não se trata de charset mas de expressão regular
> (que por default são apenas ASCII). Para usá-las corretamente em um
> idioma deve-se usar POSIX... recomendo se informarem antes e testar
> pra ver do que estou falando.
>
> Prezado Wagner, sobre os novos ou velhos, eu só testei em novos.:)..
> Se voce analisar o próprio modsecurity vai ver que o bypass existe.
>
> Estamos falando de um conceito, de um problema ainda não visualizado
> por muita gente(todo mundo?).
>
> Quanto ao que o Spooker escreveu, acho que voce não entendeu direito.
> A aplicação após o firewall vai remover os acentos e enviar a query SQL 'sem acentos' para o banco, logo, executando normalmente.
>
> Um cordial abraço,
>
> Nash Leon.
>
>
> --- Em qui, 19/11/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> escreveu:
>
>> De: Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>> Assunto: Re: [Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass
>> Para: "Wagner Elias" <wagner.elias at gmail.com>
>> Cc: "Nash Leon" <nashleon at yahoo.com.br>, owasp-brazilian at lists.owasp.org
>> Data: Quinta-feira, 19 de Novembro de 2009, 13:40
>> Bypass de WAF é algo muito vago.
>>
>> Voce usando ele em blacklist como tudo que é signature
>> based sempre se
>> achara um bypass desde erros de configs a regras mal
>> escritas.
>>
>> Quanto a WAF mais modernos os mesmo na pratica
>> normalizariam o tráfego
>> antes de enviar para as assinaturas  e para finalizar,
>> qual a função
>> de um bypass se o mesmo não realizar nada no banco de
>> dados ?
>>
>> Por exemplo no MySQL
>>
>> mysql> use dvwa
>> Reading table information for completion of table and
>> column names
>> You can turn off this feature to get a quicker startup with
>> -A
>>
>> Database changed
>>
>> mysql> select * from users;
>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>> | user_id | first_name | last_name | user    |
>> password
>>          | avatar
>>
>>
>>          |
>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>> |       1 | admin
>>   | admin     |
>> admin   |
>> 5f4dcc3b5aa765d61d8327deb882cf99 |
>> http://127.0.0.1/dvwa/hackable/users/admin.jpg   |
>> |       2 | Gordon
>>    | Brown     | gordonb
>> |
>> e99a18c428cb38d5f260853678922e03 |
>> http://127.0.0.1/dvwa/hackable/users/gordonb.jpg |
>> |       3 | Hack
>>    | Me        |
>> 1337    |
>> 8d3533d75ae2c3966d7e0d4fcc69216b |
>> http://127.0.0.1/dvwa/hackable/users/1337.jpg
>>   |
>> |       4 | Pablo
>>   | Picasso   |
>> pablo   |
>> 0d107d09f5bbe40cade3de5c71e9e9b7 |
>> http://127.0.0.1/dvwa/hackable/users/pablo.jpg   |
>> |       5 | bob
>>     | smith     | smithy
>> |
>> 5f4dcc3b5aa765d61d8327deb882cf99 |
>> http://127.0.0.1/dvwa/hackable/users/smithy.jpg
>> |
>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>> 5 rows in set (0,01 sec)
>>
>> mysql>
>>
>> mysql> SÉLÊCT * FRÔM users;
>> ERROR 1064 (42000): You have an error in your SQL syntax;
>> check the
>> manual that corresponds to your MySQL server version for
>> the right
>> syntax to use near 'SÉLÊCT d* FRÔM users' at line 1
>>
>> Não sei como isso se comporta em outros bancos mas em
>> MySQL não rola .
>>
>> Abs!
>>
>>
>>
>> 2009/11/19 Wagner Elias <wagner.elias at gmail.com>:
>> > Fala Nash!
>> >
>> > Acho que se aplica a WAF mal configurado ou antigo,
>> pois os mais
>> > recentes suportam sem nenhum problema UTF8.
>> >
>> > Abs.
>> >
>> > 2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
>> >> Como vai, pessoal?
>> >>
>> >> Estamos disponibilizando um novo artigo com o
>> título -
>> >> 'Firewalls de Aplicação WEB, Idiomas e
>> Expressões Regulares - Condições de Bypass ' no site do
>> intruders. Os interessados podem ler em:
>> >>
>> >> http://www.intruders.com.br/artigos/waf_bypass_regex.pdf
>> >>
>> >> Recomendamos aos analistas de teste de intrusão
>> de aplicações
>> >> WEB analisarem o problema descrito que se trata de
>> problemas com
>> >> internacionalização comumente encontrados em
>> WAFs estrangeiros.
>> >>
>> >> Um cordial abraço,
>> >>
>> >> Nash Leon.
>> >>
>> >>
>> >>
>>  ____________________________________________________________________________________
>> >> Veja quais são os assuntos do momento no Yahoo!
>> +Buscados
>> >> http://br.maisbuscados.yahoo.com
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>
>> >
>> >
>> >
>> > --
>> > Wagner Elias - OWASP Leader Project Brazil
>> >
>> ------------------------------------------------------------------
>> > Twitter: www.twitter.com/welias
>> > Blog: http://wagnerelias.com
>> > Profile: http://www.linkedin.com/in/wagnerelias
>> > _______________________________________________
>> > Owasp-brazilian mailing list
>> > Owasp-brazilian at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>>
>>
>>
>> --
>> Rodrigo Montoro (Sp0oKeR)
>> http://www.spooker.com.br
>> http://www.twitter.com/spookerlabs
>> http://www.linkedin.com/in/spooker
>>
>
>
>      ____________________________________________________________________________________
> Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
>



-- 
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.twitter.com/spookerlabs
http://www.linkedin.com/in/spooker


More information about the Owasp-brazilian mailing list