¿OSSEC puede detectar ataques de desbordamiento de búfer?

2

Estoy tratando de detectar un desbordamiento de búfer usando OSSEC (un software HIDS) como se menciona en Ejemplo de reglas OSSEC y .

¿Cómo puedo configurar OSSEC para detectar un ejemplo simple de desbordamiento de búfer de la siguiente manera?

#include <string.h>
#include <stdio.h>
void main(int argc, char *argv[]) {
    char buffer[100];
    strcpy(buffer, argv[1]);
    printf("Done!\n");
}
    
pregunta fluke-ng 22.05.2017 - 12:47
fuente

2 respuestas

1

Tenga en cuenta que OSSEC es un HIDS basado en registros, ya que está claro que OSSEC solo podrá reaccionar si alguien (por ejemplo, un demonio) agrega un registro que coincida con alguna regla de desbordamiento de búfer.

Consulte el ejemplo de código oficial que ha mencionado.

Saludos cordiales,

    
respondido por el alacerda 13.07.2017 - 19:10
fuente
1

Si está buscando la detección de ataques de etapa uno (shellcode en un proceso), está EMET, WDEG aka EMET II (para Windows) y Lotan (multiplataforma).

Leviathan Security ha publicado en Lotan al menos dos veces aquí:

EMET ha sido capaz de ser similar a través del 3.0 Notifier o 5.5 Event-Log mecanismos.

    
respondido por el atdre 12.08.2017 - 21:01
fuente

Lea otras preguntas en las etiquetas