IPS作為企業(yè)防護系統(tǒng)，也如同傳統(tǒng)防護系統(tǒng)IDS一樣，并非是牢不可破的。通過TCP/IP協(xié)議IPS處理機制問題的漏洞和RPC協(xié)議進(jìn)行IPS攻擊規(guī)避是常見的攻擊規(guī)避方式。而本篇文章所要介紹的通過URL混淆方式來實施IPS攻擊規(guī)避是通過IPS產(chǎn)品的URL過濾機制的漏洞所實現(xiàn)的。

這類規(guī)避方式主要包括如下幾種：

采用轉(zhuǎn)義符“%”將字符用16進(jìn)制表示

采用轉(zhuǎn)義符“%u”將字符用UNICODE方式表示

隨機插入“//”，“/./”和“”字符

隨機變換大小寫

用tab符（0x09或0x0b）或回車符（0x0d）做分隔符

加入干擾字符串

以CVE-1999-0070為例，該漏洞產(chǎn)生原因是NCSA HTTPd和早期的Apache Web Server自帶了一個名為“test-cgi”的Shell CGI腳本，通常位于“/cgi-bin”目錄，用于測試Web服務(wù)的配置是否已經(jīng)可以正常地使用CGI腳本。test-cgi腳本的實現(xiàn)上存在輸入驗證漏洞，遠(yuǎn)程攻擊者可能利用此漏洞遍歷主機的目錄，查看目錄下的內(nèi)容，因此檢測該攻擊的特征碼一般包含“cgi-bin/test-cgi”這個字符串，該攻擊概念驗證（PoC）如下：

GET /cgi_bin/test-cgi?/* HTTP/1.1

對該PoC的URL進(jìn)行混淆后可以得到如下所示的URL格式：

、

不幸的是這些混淆后的形式都是WEB服務(wù)器可接受的，顯然要避免這種攻擊的漏報，IPS就不能在原始URL中進(jìn)行特征匹配操作，而應(yīng)先對URL進(jìn)行恢復(fù)和整理后再進(jìn)行規(guī)則檢測等操作。
 

【編輯推薦】

1. IPS攻擊規(guī)避技術(shù)之RPC協(xié)議規(guī)避
2. IPS攻擊規(guī)避技術(shù)之TCP/IP協(xié)議規(guī)避
3. 簡述如何直接或間接攻擊NIDS
4. 黑客針對木馬及幾種罕見途徑繞過IDS
5. 黑客針對緩沖區(qū)溢出繞過IDS的方式