local.rules 파일로 설정 후
rule-update
디렉터리 인덱싱 취약점
Alert TCP $HOME_NET any -> $EXTERNAL_NET any (msg:"Directory Browsing vuln"; content:"index of /"; nocase; sid:202012181144; rev:1;)
원격 운영체제 명령어 URI 인젝션 취약점
Alert TCP $EXTERNAL_NET any -> $HOME_NET any (msg:"Remote OS Command Injection URI vuln"; pcre:"/(cat|type|ls|head|chmod|dir|vi|timeout)\x20.*[\x2F\x5C]/Ui" sid:202012181145; rev:1;)
원격 운영체제 명령어 헤더 인젝션 취약점
Alert TCP $EXTERNAL_NET any -> $HOME_NET any (msg:"Remote OS Command Injection header vuln"; pcre:"/(cat|type|ls|head|chmod|dir|vi|timeout)\x20.*[\x2F\x5C]/Hi" sid:202012181146; rev:1;)
XSS 취약점
Alert TCP $EXTERNAL_NET any -> $HOME_NET any (msg:"XSS-javascript"; flow:to_server,established; content:
"javascript:"; nocase; http_uri; sid:202012181147; rev:1;)
// javascript:alert(1); 과 같은 구문을 막기 위함
XSS POST 취약점
Alert TCP $EXTERNAL_NET any -> $HOME_NET any (msg:"XSS-POST"; flow:to_server,established; content:
"%3C%2Fscript%3E"; nocase; http_client_body; sid:202012181148; rev:1;)
// </script> POST - http_client_body 포스트를 막기 위함
http_client_body 옵션같은 경우는 </script>와 같은 구문이 인코딩이 되어서 들어가게 되고
http_uri 옵션같은 경우는 인코딩 없이 구문 자체적으로 들어가게 된다. 효율적이다.
http_uri 옵션은 인코딩 된 경우와 되지않은 경우 둘 다 탐지 가능하다.
http_client_body 옵션은 설정된 표현에 딱 맞는 표현만 찾는다. 즉, 비효율적
%3C%2Fscript%3E 는 </script> 가 인코딩 된 구문이다.
'8. 정보보안 노트 정리' 카테고리의 다른 글
| PentesterLab [해킹 실습용 웹사이트 구성] (0) | 2023.12.26 |
|---|---|
| Path Traversal[경로순회 취약점] snort 룰 (0) | 2023.12.26 |
| PCAP 파일 및 멀웨어 소스 제공 사이트 (0) | 2023.12.26 |
| 침입탐지, 보안 모니터링, 로그 관리를 하는 Security Onion 설치 (0) | 2023.12.26 |
| 정보보안산업기사 실기 공부본 (0) | 2023.12.14 |
