[Owasp-turkey] Virtual IP adreslerini belirleme

Ferruh Mavituna ferruh at mavituna.com
Tue Dec 29 06:09:12 EST 2009


Sen zaten guzel bir liste yapmissin Deniz :) Ozellikle IPID ve HTTP Date
Header' i kullanisli.

Uygulama seviyesinde benim aklima gelen seylerden bir kaci:

   - Uygulamalar e-mail atiyorlarsa (*sifre hatirlatma, arkadasina oner vs.*)
   iki uygulamadan da gelen e-maillarda bilgi sizmasi olabilir,
   - Uygulamalarin ayni webserver uzerinde calistigini varsayarsak:
      - IIS ise Host header ile ilgilil Internal IP Leakage sorunu varsa
      buradan acik cikabilir
      - HTTPrint ile web server analiz raporlari (*her ne kadar bu genel
      sonuc cikarsa da versiyon farklari gozukebiliyor*)
   - Son olarak teste gore uygulama bazli DoS yapilabilir, sistemde uygulama
   temelli quota yoksa iki web sitesi de ayni anda yavaslayacaktir.
   - Biraz daha derine gidersek aslinda iki uygulamada resim ya da video
   process ediyorsa bunlarin ciktilarin versiyon ve bilgi sizmasi olabiliyor,
   onlar karsilastirilabilir
   - Abuk bir yontem olarak uptime vakitlerini / DNS / Server degisiklikleri
   gibi degisiklikler correlate edilebilir. Netcraft mesela server
   header'larindaki degisiklikleri tutuyor. Iki sitede ayni donemde bu tip
   degisiklikler gosterdiyse ya da ayni donemde 1 gun boyunca erisilemez
   olduysa vs. Bu dusuk bir ihtimal ama siteleri uzun sure listede
   tutabilirseniz pingdom.com gibi bir sistem bu konuda ciddi derecede
   yardimci olabilir.


2009/12/29 Deniz CEVIK <denizcev at gmail.com>

> Selam arkadaşlar,
>
> Aynı web sunucusu üzerinde tanımlı farklı IP adreslerinin gerçekten
> tek bir sunucuya virtual host için atanmış IP adresleri olduğuna nasıl
> emin olabiliriz. Ben genelde aşağıdaki değerlere bakıyorum ama yine de
> %100 emin olmak için yeterli değil.
>
> web portuna yollanan SYN paketine alınan cevaplardaki;
>
> TTL - Ayırt edici olsa da aynı tip ve aynı uzaklıktaki işletim
> sistemleri için benzer değerler üretme olasılığı oldukça yüksel
> MSS - Maximum Segment Size
> WINDOV SIZE
> IPID - benzer değerler üretiliyorsa aynı sunucudan gelme ihtimali
> yüksek ancak sunucu yükü fazla ise anlamak zor olabiliyor.
> TCP-TIMESTAMP değeri ve değişim frekansı, windows tabanlı sunucularda
> işe yarıyor.
>
> ICMP Mesajları - Arada Firewall olduğu zaman işe yaramayacaktır.
>
> HTTP cevaplarındaki
> Date Başlığı - Farklı sistemlerde Aynı sistem tarih saat bilgisi
> görmek çok zor. NTP kullanılıyorsa buda kesin bilgi vermiyor.
>
>
> Bunlar dışında bize daha kesin bilgi verebilecek opsiyonlar neler
> acaba. Fikirlerinizi paylaşırsanız sevinirim
>
> İyi Çalışmalar
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091229/1ea6f4bd/attachment.html 


More information about the Owasp-turkey mailing list