지난 글에서 기존 룰의 문제점을 찾고, URL 인코딩된 패턴만을 검사할 수 있도록 다음과 같은 룰 수정을 시도했었다.
(수정 전)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-MISC weblogic/tomcat .jsp view source attempt";
flow:to_server,established;
content:".jsp"; nocase; http_uri;
pcre:!"/^\w+\s+[^\n\s\?]*\.jsp/smi";
metadata:service http; reference:bugtraq,2527; classtype:web-application-attack; sid:1054; rev:10;)
Easy to analyze if you are really curious about data
2015년 6월 24일 수요일
2015년 6월 14일 일요일
Snort 분석(WEB-MISC weblogic/tomcat .jsp view source attempt - 2nd)
지난 글에서 'WEB-MISC weblogic/tomcat .jsp view source attempt' 룰에 의해 발생한 로그의 오탐 근거를 찾고, 룰 개선을 시도했었다. 하지만 데이터베이스 저장 오류(2개의 패킷이 하나로 저장?)로 인해 로그 분석이 여의치 않았었다.
상용 보안장비에서는 경험하기 힘든 오류라 당황스럽긴 하지만 그렇다고 분석을 안할 수는 없는 노릇. 방법을 찾아야 한다. 다행히 Snort는 로그를 발생시킨 원인 패킷을 같이 저장한다.
Wireshark를 이용해서 해당 패킷을 분석할 수 있다는 얘기. 하지만 아무래도 로그 분석은 결국 텍스트 분석이다 보니 특정 패턴이 포함된 패킷을 알려줄 뿐, 해당 패턴의 위치를 표시해주지 못하는 Wireshark로는 정확한 분석이 힘들 수 밖에 없다. 가장 좋은 방법은 패킷에서 텍스트를 추출하는 것.
상용 보안장비에서는 경험하기 힘든 오류라 당황스럽긴 하지만 그렇다고 분석을 안할 수는 없는 노릇. 방법을 찾아야 한다. 다행히 Snort는 로그를 발생시킨 원인 패킷을 같이 저장한다.
Wireshark를 이용해서 해당 패킷을 분석할 수 있다는 얘기. 하지만 아무래도 로그 분석은 결국 텍스트 분석이다 보니 특정 패턴이 포함된 패킷을 알려줄 뿐, 해당 패턴의 위치를 표시해주지 못하는 Wireshark로는 정확한 분석이 힘들 수 밖에 없다. 가장 좋은 방법은 패킷에서 텍스트를 추출하는 것.
2015년 6월 9일 화요일
Snort 분석(WEB-MISC weblogic/tomcat .jsp view source attempt)
두번째 분석 사례는 모 쇼핑몰 사이트 접속 과정에서 'WEB-MISC weblogic/tomcat .jsp view source attempt'라는 룰에 의해 발생한 탐지로그.
피드 구독하기:
글 (Atom)
