Il 30 luglio 2010 09.29, Gabriele <[email protected]> ha scritto: > On 29/07/2010 09:48, Francesco Fucito wrote: >> >> La mia domanda è: ha senso fare ciò? Seppur io eseguo un attacco SQL >> Injection verso un web esterno, questo mi viene tracciato e correlato >> sugli IDS aventi come destinazione il proxy? > > Francesco, > mi sembra di capire il tuo IDS analizzi il traffico prima del proxy, quindi > per lui il destinatario è quello che legge nel pacchetto IP. > Disclaimer: Non conosco il tuo IDS e a dire il vero non ho seguito la > tecnologia IDS in tempi recenti.
Le sonde sono CISCO, utilizziamo anche Cisco Mars > > Quello che ti serve è un IDS che analizzi anche gli header http e possa > considerare il sito destinatario come destinatario finale, ignorando quello > che è scritto nell'IP. Appunto, esiste una soluzione per leggere il raw del pacchetto o appunto l'header http? > > Oppure > > metti l'IDS dopo il proxy, dici al proxy di popolare l'header http > X-Forwarded-for con l'ip del client (molti proxy lo fanno). In questo caso > hai nell'IP il reale destinatario, ma ti perdi il sorgente. Il sorgente però > lo ritrovi nell'header X-Forwarded-for. Ancora una volta però hai bisogno di > un sistema che sia in grado di leggere e interpretare questo campo. Purtroppo non è possibile fare nulla di tutto ciò > > Ciao, > Gabriele > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
