[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Wagner Elias wagner.elias at gmail.com
Thu Nov 19 11:07:40 EST 2009


Nash,

como não é um problema de charset?

Ou o WAF não valida acentos ou a aplicação. No caso do exemplo que
você disse que a app tira o acento (problema de charset) o problema é
da app e não do WAF.

Abs.


2009/11/19 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> Quanto ao MySQL ia escrever novamente pois  li pelos cantos e falei bobeira =)
>
> Mas comentando sobre o Imperva no caso
>
> When a service is installed, it is automatically configured with a
> default character set (Western European
> (windows). This must be changed if your server is using a character
> set other than this default. Additionally,
> SecureSphere has built in support for UTF-8 character sets. So for
> example, if your server uses both UTF-8
> and Japanese, you would configure the SecureSphere character set as
> Japanese, because UTF-8 is provided
> by built-in support. SecureSphere does not support UTF-7.
>
> Sinceramente não tenho alguma box para fazer tests e analisar.
>
> Mas como disse, signature base ainda mais em WEB tende a morrer (se
> voce quiser REALMENTE segurança no WAF) , profiling e whitelist que
> seria o mundo ideal mas o trabalho que da pra configurar isso faz com
> que empresas não configurem da forma correta .
>
> De qualquer forma Database Monitoring  cobriria facilmente isso =)
>
>
> Abs!
>
> 2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
>> Prezados, percebam que não se trata de charset mas de expressão regular
>> (que por default são apenas ASCII). Para usá-las corretamente em um
>> idioma deve-se usar POSIX... recomendo se informarem antes e testar
>> pra ver do que estou falando.
>>
>> Prezado Wagner, sobre os novos ou velhos, eu só testei em novos.:)..
>> Se voce analisar o próprio modsecurity vai ver que o bypass existe.
>>
>> Estamos falando de um conceito, de um problema ainda não visualizado
>> por muita gente(todo mundo?).
>>
>> Quanto ao que o Spooker escreveu, acho que voce não entendeu direito.
>> A aplicação após o firewall vai remover os acentos e enviar a query SQL 'sem acentos' para o banco, logo, executando normalmente.
>>
>> Um cordial abraço,
>>
>> Nash Leon.
>>
>>
>> --- Em qui, 19/11/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> escreveu:
>>
>>> De: Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>> Assunto: Re: [Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass
>>> Para: "Wagner Elias" <wagner.elias at gmail.com>
>>> Cc: "Nash Leon" <nashleon at yahoo.com.br>, owasp-brazilian at lists.owasp.org
>>> Data: Quinta-feira, 19 de Novembro de 2009, 13:40
>>> Bypass de WAF é algo muito vago.
>>>
>>> Voce usando ele em blacklist como tudo que é signature
>>> based sempre se
>>> achara um bypass desde erros de configs a regras mal
>>> escritas.
>>>
>>> Quanto a WAF mais modernos os mesmo na pratica
>>> normalizariam o tráfego
>>> antes de enviar para as assinaturas  e para finalizar,
>>> qual a função
>>> de um bypass se o mesmo não realizar nada no banco de
>>> dados ?
>>>
>>> Por exemplo no MySQL
>>>
>>> mysql> use dvwa
>>> Reading table information for completion of table and
>>> column names
>>> You can turn off this feature to get a quicker startup with
>>> -A
>>>
>>> Database changed
>>>
>>> mysql> select * from users;
>>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>>> | user_id | first_name | last_name | user    |
>>> password
>>>          | avatar
>>>
>>>
>>>          |
>>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>>> |       1 | admin
>>>   | admin     |
>>> admin   |
>>> 5f4dcc3b5aa765d61d8327deb882cf99 |
>>> http://127.0.0.1/dvwa/hackable/users/admin.jpg   |
>>> |       2 | Gordon
>>>    | Brown     | gordonb
>>> |
>>> e99a18c428cb38d5f260853678922e03 |
>>> http://127.0.0.1/dvwa/hackable/users/gordonb.jpg |
>>> |       3 | Hack
>>>    | Me        |
>>> 1337    |
>>> 8d3533d75ae2c3966d7e0d4fcc69216b |
>>> http://127.0.0.1/dvwa/hackable/users/1337.jpg
>>>   |
>>> |       4 | Pablo
>>>   | Picasso   |
>>> pablo   |
>>> 0d107d09f5bbe40cade3de5c71e9e9b7 |
>>> http://127.0.0.1/dvwa/hackable/users/pablo.jpg   |
>>> |       5 | bob
>>>     | smith     | smithy
>>> |
>>> 5f4dcc3b5aa765d61d8327deb882cf99 |
>>> http://127.0.0.1/dvwa/hackable/users/smithy.jpg
>>> |
>>> +---------+------------+-----------+---------+----------------------------------+--------------------------------------------------+
>>> 5 rows in set (0,01 sec)
>>>
>>> mysql>
>>>
>>> mysql> SÉLÊCT * FRÔM users;
>>> ERROR 1064 (42000): You have an error in your SQL syntax;
>>> check the
>>> manual that corresponds to your MySQL server version for
>>> the right
>>> syntax to use near 'SÉLÊCT d* FRÔM users' at line 1
>>>
>>> Não sei como isso se comporta em outros bancos mas em
>>> MySQL não rola .
>>>
>>> Abs!
>>>
>>>
>>>
>>> 2009/11/19 Wagner Elias <wagner.elias at gmail.com>:
>>> > Fala Nash!
>>> >
>>> > Acho que se aplica a WAF mal configurado ou antigo,
>>> pois os mais
>>> > recentes suportam sem nenhum problema UTF8.
>>> >
>>> > Abs.
>>> >
>>> > 2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
>>> >> Como vai, pessoal?
>>> >>
>>> >> Estamos disponibilizando um novo artigo com o
>>> título -
>>> >> 'Firewalls de Aplicação WEB, Idiomas e
>>> Expressões Regulares - Condições de Bypass ' no site do
>>> intruders. Os interessados podem ler em:
>>> >>
>>> >> http://www.intruders.com.br/artigos/waf_bypass_regex.pdf
>>> >>
>>> >> Recomendamos aos analistas de teste de intrusão
>>> de aplicações
>>> >> WEB analisarem o problema descrito que se trata de
>>> problemas com
>>> >> internacionalização comumente encontrados em
>>> WAFs estrangeiros.
>>> >>
>>> >> Um cordial abraço,
>>> >>
>>> >> Nash Leon.
>>> >>
>>> >>
>>> >>
>>>  ____________________________________________________________________________________
>>> >> Veja quais são os assuntos do momento no Yahoo!
>>> +Buscados
>>> >> http://br.maisbuscados.yahoo.com
>>> >> _______________________________________________
>>> >> Owasp-brazilian mailing list
>>> >> Owasp-brazilian at lists.owasp.org
>>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > Wagner Elias - OWASP Leader Project Brazil
>>> >
>>> ------------------------------------------------------------------
>>> > Twitter: www.twitter.com/welias
>>> > Blog: http://wagnerelias.com
>>> > Profile: http://www.linkedin.com/in/wagnerelias
>>> > _______________________________________________
>>> > Owasp-brazilian mailing list
>>> > Owasp-brazilian at lists.owasp.org
>>> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>> >
>>>
>>>
>>>
>>> --
>>> Rodrigo Montoro (Sp0oKeR)
>>> http://www.spooker.com.br
>>> http://www.twitter.com/spookerlabs
>>> http://www.linkedin.com/in/spooker
>>>
>>
>>
>>      ____________________________________________________________________________________
>> Veja quais são os assuntos do momento no Yahoo! +Buscados
>> http://br.maisbuscados.yahoo.com
>>
>
>
>
> --
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.twitter.com/spookerlabs
> http://www.linkedin.com/in/spooker
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list