2014-04-16 18:26 GMT+02:00 Fabio Panigatti: >> Basta usare differenti IP (Google: botnet for rent), proxy, e cambiare >> user agent. Questo č piů che sufficiente a rendere idioti la gran >> parte degli intrusion detection. >> >> Diversamente un WAF potrebbe essere piů intelligente a riguardo. > > L'attacco non arriva ad HTTP, si ferma allo strato TLS: non c'č un > User-agent, non serve mettere in mezzo un WAF.
Un WAF non controlla necessariamente soltanto uno user-agent; può anche controllare se un IP è parte di una botnet, o se una scansione è in corso, o ci sono troppe connessioni simili da IP diversi. La capacità di comprendere lo stato della sessione è molto migliore in un WAF, per cui è un candidato molto più ideale di un IDS/IPS per scoprire questo tipo di attacchi (e altri). > Alcuni PoC eseguono > richieste HTTP complete, ma non č necessario. Per "esploitare" Heartbleed, è necessario fare un handshake HTTP completo (e pure più di uno, AFAIK). Uno WAF decente semplicemente blocca ogni richiesta "non conforme". > E non sono coinvolti solo i webserver :-) Se hai signature per IDS/IPS decenti, che facciano detection di scansioni di massa, sono tutto orecchi :-) Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
