Salve a tutti, ho un dubbio atroce... Sto monitorando dei client di una azienda da cui si suppone siano partiti degli attacchi di tipo SQL Injection.
Nei filtri impostati, hanno messo come destinazione degli attacchi anche i proxy, perchè così possono monitorare eventuali attacchi verso l'esterno da queste sorgenti. Il fatto è che cos' facendo stiamo riscontrando molti falsi positivi, poichè andando ad analizzarli sugli IDS, ho notato che sono stati rilevati nel payload link del tipo "http://api.ak.facebook.com/restserver.php?v=1.0&method=fql.query&query=select url%2C total_count from link_stat where url in " dovuti al caching delle pagine da parte dei proxy e per questo sono stati correlati mettendo come destinazione dell'attacco il proxy stesso, come se io quell'attacco lo stessi rivolgendo al proxy. La mia domanda è: ha senso fare ciò? Seppur io eseguo un attacco SQL Injection verso un web esterno, questo mi viene tracciato e correlato sugli IDS aventi come destinazione il proxy? Oppure, anche se eseguo un attacco SQL Injection da un sorgente interna verso un server interno passando per il proxy (magari nell impostazioni del browser ho dimenticato di escludere la rete interna dal passare attraverso il proxy), non dovrei vedere direttamente gli eventi verso la destinazione e non verso il proxy? Grazie per l'attenzione FF
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
