IDS: SQL use of sleep function in HTTP header - likely SQL injection attempt

Разбор сигнатуры IDS: SQL use of sleep function in HTTP header - likely SQL injection attempt

IDS: SQL use of sleep function in HTTP header - likely SQL injection attempt

обнаружение данной активности не является фактом эксплуатации уязвимости, а лишь фиксирует факт проверки на слепую инъекцию.

Сигнатура

alert tcp any any -> any $HTTP_PORTS ( msg:"SQL use of sleep function in HTTP header - likely SQL injection attempt"; flow:established,to_server; http_header; content:"User-Agent|3A| "; content:"sleep(",fast_pattern,nocase; pcre:"/User-Agent\x3A\x20[^\r\n]*sleep\x28/i"; metadata:policy balanced-ips drop,policy max-detect-ips drop,policy security-ips drop,ruleset community; service:http; reference:url,blog.cloudflare.com/the-sleepy-user-agent/; classtype:web-application-attack; sid:38993; rev:9; )

Сигнатура фиксирует трафик из любой сети в домашнюю сеть, на TCP порт HTTP (80, 81, 82, 83,84,85,86,87,88,880,8081 ... ), в User-Agent которого имеется последовательность содержащая слово sleep.

Данный тип атаки направлен на выявление слепой SQL инъекции, когда факт ее наличия фиксируется за счет увеличения времени ответа веб-севера.

Наличие данной активности может быть признаком использования инструментов взлома или активности различных ботов.

Общий список правил

Список правил доступный на сайте

 

 

Добавить комментарий