¿es posible usar ip-fragmenation (por ejemplo con fragroute) para evadir mod_security?
la idea sería dividir una cadena sql-injection- o xss-string en partes pequeñas para que no se reconozca.
AviD estaba en el camino correcto con la idea de tomar conceptos de ataque de fragmentos de IP para evadir IDS de nivel de red y aplicarlos a datos http de capa 7. Si desea dividirse, digamos una carga útil de SQLi para que pueda evadir los filtros de entrada y aún funcione contra el sistema de back-end, la técnica de ataque se llama "Contaminación de Parámetro HTTP (HPP)". HPP es un ataque donde el usuario envía una solicitud donde varios parámetros tienen el mismo nombre. En estos casos, hay un amplio nivel de variación en cómo responderán las aplicaciones. ¿Tomarán la primera carga útil? ¿El último? En el caso de los sitios ASP / ASP.NET, en realidad concatenarán todas las cargas útiles con el mismo nombre. Esto permite un tipo de ataque de "fragmentación". Ver mi blog anterior sobre el tema - enlace
y aquí
También es de destacar: la versión actual del conjunto de reglas centrales de ModSecurity (CRS) de OWASP tiene un conjunto de reglas experimentales para HPP que imitará a ASP y concatenará cualquier parámetro con los mismos nombres en variables de TX personalizadas para su inspección por las reglas posteriores -
Saludos, Ryan
Según mi conocimiento, los fragmentos de IP se reconstruyen antes de ser transferidos a mod_security.
Esencialmente, mod_security es simplemente un complemento del servidor web, y no maneja ningún objeto de IP por sí mismo. Lo que recibe es siempre solo una solicitud HTTP completa.
Como tal, la respuesta simple sería "No".
Sin embargo.
Si toma su concepto de evasión (ataque dividido entre diferentes paquetes) y lo eleva al nivel de la aplicación, es posible que haya espacio para jugar allí.
P.ej. ¿Es posible ejecutar el ataque usando 2 solicitudes HTTP? Ese es un tema muy específico de la aplicación, y no sería en absoluto trivial.
Más trivialmente, sin embargo, ¿qué pasa con las solicitudes de rango HTTP?
Lamento decir que no sé la respuesta aquí, si mod_security sabe cómo bloquearlos.
Sin embargo, la mayoría de los demás WAF lo hacen, y los que no han sido completamente criticados ...
Lea otras preguntas en las etiquetas network webserver waf mod-security