modsecurity内存泄露_ModSecurity存在旁路漏洞

最新推荐文章于 2024-05-19 23:19:50 发布
最新推荐文章于 2024-05-19 23:19:50 发布
阅读量236 收藏
点赞数
文章标签: modsecurity内存泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39608132/article/details/111847409
版权

ModSecurity存在旁路漏洞,不过貌似只影响到Windows系统(ASP、ASP.NET),使用Linux/UNIX系统的朋友可以松口气~~~

下面是具体信息:

========================================================================

ModSecurity (Core Rules) HPP Filter Bypass Vulnerability

========================================================================

Affected Software : ModSecurity <= 2.5.9 using ModSecurity Core Rules <= 2.5-1.6.1

Author : Lavakumar Kuppan - lavakumar[dot]in[at]gmail[dot]com

Advisory URL : http://www.lavakumar.com

Severity : High

Local/Remote : Remote

[Vulnerability Details]

Modsecurity is an Open source Web Application firewall which runs as an Apache

module. It has a comprehensive set of rules called 'ModSecurity Core Rules' for common web application

attacks like SQL Injection, Cross-Site Scripting etc.

It is possible to bypass the ModSecurity Core Rules due to the difference in behaviour

of ModSecurity and ASP/ASP.NET applications in handling duplicate HTTP GET/POST/Cookie

parameters. Using duplicate parameters has been termed as HTTP Parameter Pollution by Luca Carettoni

and Stefano Di Paola.

When multiple GET/POST/Cookie parameters of the same name are passed in the HTTP request

to ASP and ASP.NET applications they are treated as an array collection.

This leads to the values being concatenated with a comma inbetween them.

For example when the following query is sent to the server:

-----------------------------

POST /index.aspx?a=1&a=2

Host: www.example.com

Cookie: a=5; a=6

Content-Length: 7

a=3&a=4

-----------------------------

The server side interpretation of this data is as follows:

Request.Params["a"] --> "1,2,3,4,5,6" ( if "a" was registered as a server-side control ) (ASP.NET Only)

Request.Params["a"] --> "1,2,5,6" ( if "a" was not registered as a server-side control ) (ASP.NET Only)

Request.QueryString["a"] --> "1,2" (ASP and ASP.NET)

Request.Form["a"] --> "3,4" (ASP and ASP.NET)

This behaviour is unique to ASP and ASP.NET applications and ModSecurity does not interpret this data in the

same way. When dealt with multiple parameters of the same name ModSecurity matches the value of each instance

of the parameter seperately against its rule base. Incase of the above example ModSecurity would run '1' against

the rule set first then '2' and so on till '6'.

Since data is interpreted differently by the Web Application and the Firewall this produces intresting possibilities

for a filter bypass scenario.

This theory was tested against the SQL Injection rule base of ModSecurity Core Rules and was found to bypass the

default-enabled rule set successfully.

The following request is blocked by ModSecurity as this matches its Generic SQL Injection Attack rule.

http://example.com/search.aspx?value=select 1,2,3 from table

ModSecurity Interpretation:

value = select 1,2,3 from table

Web Application Interpretation:

value = select 1,2,3 from table

However the same payload can be sent to the server by splitting it using duplicate parameters like below.

http://example.com/search.aspx?value=select 1&value=2,3 from table

ModSecurity Interpretation:

value = select 1

value = 2,3 from table

Web Application Interpretation:

value select 1,2,3 from table

The attack can be made more flexible by using the inline comment feature in MS SQL servers.

http://example.com/search.aspx?value=select/*&value=*/1,2,3/*&value=*/from/*&value=*/table

ModSecurity Interpretation:

value=select/*

value=*/1,2,3/*

value=*/from/*

value=*/table

Web Application Interpretation:

value = select/*,*/1,2,3/*,*/from/*,*/table

This technique could possibly be extended to exploit other types of Web Application vulnerabilities as well.

Refer the whitepaper 'Split and Join' (see references) for more details on this attack.

[Fix Information]

N/A

[References]

http://www.lavakumar.com/Split_and_Join.pdf

http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf

[Legal Notices]

The information in the advisory is believed to be accurate at the

time of publishing based on currently available information.

This information is provided as-is, as a free service to the community.

There are no warranties with regard to this information.

The author does not accept any liability for any direct,

indirect, or consequential loss or damage arising from use of,

or reliance on, this information.

Permission is hereby granted for the redistribution of this alert,

provided that the content is not altered in any way, except

reformatting, and that due credit is given.

This vulnerability has been disclosed in accordance with the RFP

Full-Disclosure Policy v2.0, available at:

http://www.wiretrip.net/rfp/policy.html

weixin_39608132
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax 源服务器拒绝服务请求_ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现
weixin_31419249的博客
12-19 251
ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现作者: key本文利用Github Commit代码对比的方式进行跟踪复现背景2020年1月20日,Trustwave SpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞漏洞编号为:CVE-2019-19886。此漏洞影响ModSecurity的3.0到3.0.3版本。漏洞...
看我如何发现开源 WAF引擎ModSecurity 中的DoS 漏洞
smellycat000的专栏
01-22 365
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队ModSecurity 是由 Trustwave 维护的开源 WAF 引擎。安全研究员 Ervin Hegedüs 在 Mod...
Nginx - 集成ModSecurity实现WAF功能
最新发布
小工匠
05-19 1419
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
iptables详解及docker的iptables规则
热门推荐
五侠的博客
10-31 2万+
iptables详解及docker的iptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令docker的iptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 docker的iptables规则 docker网络类型 数据包处理流程 ...
modsecurity内存泄露_我是如何在ModSecurity的核心规则集中找到ReDOS漏洞
weixin_39724382的博客
12-22 130
本文将会讲述我是如何在世界知名WAF的规则集中找到ReDOS漏洞的,如果你还不是很熟悉正则表达式和ReDOS漏洞,可以阅读我的前一篇文章:https://nosec.org/home/detail/2506.html。简单来说,ReDOS漏洞由于某些正则表达式在编写时忽略了安全性,导致在匹配搜索某些特殊的字符串时会消耗大量计算资源,产生DOS攻击的效果。而现在不少WAF产品都是依赖正则表达式对流量...
modsecurity内存泄露_ModSecurity:一款优秀的开源WAF
weixin_39599166的博客
12-22 318
一、ModSecurity3.0介绍ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录。优势:完美兼容nginx,是nginx官方...
ModSecurity_3_NGINX_Quick_Start_Guide.pdf
07-30
ModSecurity_3_NGINX_Quick_Start_Guide.pdf
modsecurity-apache_2.5.13_src_bin.zip
07-31
标题中的"modsecurity-apache_2.5.13_src_bin.zip"指示了这是一个与ModSecurity相关的Apache模块的源码及二进制文件的压缩包,版本为2.5.13。ModSecurity是一款开源的Web应用防火墙(WAF),能够保护服务器免受恶意...
modsecurity-2.9.2_apr-util-1.3.10_pcre-8.10_apr-1.4.2
06-22
modsecurity-2.9.2 apr-util-1.3.10 pcre-8.10 apr-1.4.2
Modsecurity-apache_2.5.13.tar.gz
03-23
**ModSecurity Apache 2.5.13 模块详解** ModSecurity是一个强大的开源Web应用程序防火墙(WAF),主要用于增强Web服务器的安全性。它的核心功能是检测并阻止潜在的恶意活动,保护Web应用程序免受各种已知和未知的...
securing_webgoat_using_modsecurity
05-29
ModSecurity is an open source web application firewall that can work either embedded in an Apache web server or as a reverse proxy. The new features in version 2.0 and version 2.5 (released in ...
ModSecurity防护web应用 完全部署 详细文档
11-24
ModSecurity防护web应用 ModSecurity2.9.1 规则库ModSecurity-crs LAMP centos 6.8
使用 ModSecurity 虚拟修补 Apache Struts CVE-2017-5638
allway2的博客
08-09 376
作为升级到新版 Struts 的一部分,每个依赖于 Struts 的应用程序都需要重新构建并使用最新的 Struts 库进行测试。通过这样做,您可以保护您的网站免受攻击。当快速部署修复库中的代码不切实际时,您可以使用 ModSecurity 拦截漏洞,“虚拟修补”受影响的代码,直到您可以升级受影响的库。有了 ModSecurity 自定义规则,您就可以按照合理的时间表仔细地修补生产软件,而不会受到易受攻击的压力。当打印未转义的无效标头时,将评估 OGNL 表达式,并执行 OGNL 表达式中的任何系统命令。.
ModSecurity OWASP 规则集说明
5L2g556F5ZWl77yf
03-25 1199
1.OWASP文件用途 1.1 基本规则集 modsecurity_crs_20_protocol_violations.confHTTP协议规范相关规则 modsecurity_crs_21_protocol_anomalies.confHTTP协议规范相关规则 modsecurity_crs_23_request_limits.confHTTP协议大小长度限制相关规则 modsecurity_...
modsecurity内存泄露_Modsecurity原理分析--从防御方面谈WAF的绕过(一)
weixin_39526459的博客
12-22 184
0x00 背景知识一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。笔者再次强调,如果你只是想学习WAF的绕过,我建议还是不要跟我的帖子了,我...
modsecurity(尚不完善)
weixin_34237596的博客
04-15 110
modsecurity ModSecurity是一个***探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可 以作为Apache Web服务器的一个模块或单独的应用程序来运行.ModSecurity的目的是为增强Web应用程序的安全 性和保护Web应用程序避免遭受来自已知与未 知的***. http://www.modsec...
modsecurity内存泄露_modsecurity规则分析
weixin_39823017的博客
12-22 297
modsecurity规则分析原文: http://webutm.blogspot.com/官网: http://www.iisutm.com/modsecurity是一个非常不错的开源web应用防火墙项目,就像snort一样,其规则是开源社区一大财富,至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。这两...
ModSecurity规则
专注企业信息安全-sec
05-04 5608
中文译文参考:http://netsecurity.51cto.com/art/201407/446264.htm 英文原文参考:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ 根据最新实践调整里面的细节内容,图片内容未调整: 0x00 背景 ModSecurity...
Modsecurity配置限制DoS攻击
技术转管理历程
03-16 2088
在自定义配置文件加入下面这行 # bursts SecAction "id:'900011',phase:1,t:none,setvar:'tx.dos_burst_time_slice=60',setvar:'tx.dos_counter_threshold=100',setvar:'tx.dos_block_timeout=600',nolog,pass" 设置时间区间60秒,在该
如何触发modsecurity_crs_41_xss_attacks.conf
05-22
ModSecurity CRS(Core Rule Set)是一组规则,用于保护Web应用程序免受常见攻击,如跨站点脚本(XSS),SQL注入和文件包含攻击等。 modsecurity_crs_41_xss_attacks.conf是其中一个规则文件,专门用于检测和预防XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值