On 29/07/2010 09:48, Francesco Fucito wrote:
La mia domanda è: ha senso fare ciò? Seppur io eseguo un attacco SQL
Injection verso un web esterno, questo mi viene tracciato e correlato
sugli IDS aventi come destinazione il proxy?
Francesco,
mi sembra di capire il tuo IDS analizzi il traffico prima del proxy,
quindi per lui il destinatario è quello che legge nel pacchetto IP.
Disclaimer: Non conosco il tuo IDS e a dire il vero non ho seguito la
tecnologia IDS in tempi recenti.
Quello che ti serve è un IDS che analizzi anche gli header http e possa
considerare il sito destinatario come destinatario finale, ignorando
quello che è scritto nell'IP.
Oppure
metti l'IDS dopo il proxy, dici al proxy di popolare l'header http
X-Forwarded-for con l'ip del client (molti proxy lo fanno). In questo
caso hai nell'IP il reale destinatario, ma ti perdi il sorgente. Il
sorgente però lo ritrovi nell'header X-Forwarded-for. Ancora una volta
però hai bisogno di un sistema che sia in grado di leggere e
interpretare questo campo.
Ciao,
Gabriele
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
