Escrito por coder el 21 de marzo de 2008 en Informática | Hits: 233
Me preguntaba un cliente mío sobre si unos hipotéticos IPS desplegados en la DMZ de un banco podrían detectar/parar este tipo de ataques descritos en el diario SANS de Bojan Zdrnja.
Mi respuesta fue la siguiente: "Cualquier intento de SQL Injection que detecte un IPS aparecerá reflejado en los detalles de esa firma, ya sea uno convencional o con UNIONS (estos tienen firma aparte en el modelo que mencionas). Al proceder de una botnet, simplemente se verían intentos repetidos de lo mismo en un corto período de tiempo desde IPs distintas, más como una 'avalancha' que como ataques puntuales. Quizá se interpretara como un DDoS.
El problema del caso que mencionan en el diario del SANS es que el vector que inyectan como payload está "casteado", y el IPS vería la petición web y quizá, en caso de encuadrarla como un ataque, no lo haría como un SQL Injection sino como un ataque de inyección de código JavaScript o similar, al ver palabras reservadas como 'exec' o 'var'. A no ser que tengan metidas en alguna firma todas las palabras reservadas de SQL ('declare', 'tovarchar', etc) y sea capaz de detectarlas correctamente... pero creo que a día de hoy no es así."
Pero es algo que no me convence del todo, porque no he podido probarlo todavía. Ese vector me parece de lo más evolucionado en exploits distribuidos de SQL Injection y, mientras pensaba en ello, no podía evitar acordarme de esa frase que dice que 'los blackhats siempre irán por delante de los whitehacks'. Digamos que sería como invertir el refrán: hecha la trampa, hecha la ley, y así, mal vamos, Pascual. ¿Está el lector de acuerdo con mi opinión? ¿Ha podido hacer pruebas? ¡Queremos saber!
« Tukwila, o cómo cagarse en la RAM
Edinburgh's Castle »