Posto che il tuo problema non e' chiaro, perche' non ci hai spiegato cosa pensi che sia successo, se i target siano interni ed esterni, e in generale mancano molti dati:
> Il fatto è che cos' facendo stiamo riscontrando molti falsi positivi, > poichè andando ad analizzarli sugli IDS, ho notato che sono stati > rilevati nel payload link del tipo > "http://api.ak.facebook.com/restserver.php?v=1.0&method=fql.query&query=select > url%2C total_count from link_stat where url in " dovuti al caching Tu stai provando a usare delle regole di un IDS misuse based (le sonde Cisco) per identificare degli attacchi di SQL injection. Questo e' Male (TM), perche' tutti i siti (e non sono pochi) che usano sintassi SQL negli URL te le faranno scattare. Non c'e' modo per scrivere delle "buone" regole su SQL injection con degli IDS network based, misuse based. Se tutti i client devono passare dal proxy per navigare, butta via l'IDS e greppa i log del proxy. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
