اطلاعیه

Collapse
No announcement yet.

Apache Module For Web App Attacks Scenarios

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • Apache Module For Web App Attacks Scenarios

    سلام دوستان
    یک ابزار جهت مانیتور و تشخیص سناریو هایی (ترجیحا اتک های وابسته به URL ) که در حال انجام برروی آپاچی هستند نیاز داریم.
    طوری که بصورت realtime* همه درخواست هارو یکجا ذخیره و اگر مورد مشکوکی بود هشدار بده در غیر اینصورت باقی موارد رو حذف کنه.
    کسی چیزی سراغ داره ؟
    مرسی
    Last edited by Mr.M4st3r; 09-04-2012, 05:16 PM. دلیل: زیراکس
    تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

  • #2
    نوشته اصلی توسط Mr.M4st3r نمایش پست ها
    سلام دوستان
    یک ابزار جهت مانیتور و تشخیص سناریو هایی (ترجیحا اتک های وابسته به URL ) که در حال انجام برروی آپاچی هستند نیاز داریم.
    طوری که بصورت realtime* همه درخواست هارو یکجا ذخیره و اگر مورد مشکوکی بود هشدار بده در غیر اینصورت باقی موارد رو حذف کنه.
    کسی چیزی سراغ داره ؟
    مرسی
    ندارید مگه؟

    Comment


    • #3
      نوشته اصلی توسط Drosera|Cqq47 نمایش پست ها
      ندارید مگه؟
      داریم ولی اینجا نیست

      پیوست : هر چیزو با هرچیز قاطی نفرما.
      تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

      Comment


      • #4
        نوشته اصلی توسط Mr.M4st3r نمایش پست ها
        داریم ولی اینجا نیست

        پیوست : هر چیزو با هرچیز قاطی نفرما.
        خب همونو استفاده کنید دیگه
        خیلی هم شاخ مگه نیس؟
        دمو هم بزارید ما خریداریم;)

        Comment


        • #5
          دوستان اشتباه نگیرن ، مبحث من روی نحوه ی جلوگیری و .. مثل پلتفرم کلی mod_sec نیست .
          بحث من روی تشخیص خیلی ساده ی فعالیت برای استفاده از آسیب پذیری های ساده ای مثل DT , sqli , xss , rfi (حالا میخواد بطور کامل اکسپلویت شه میخواد نشه) فعلاً هست.
          اگه کسی از دوستان چیزی دیده ممنونم در اختیار قرار بده.

          مرسی
          Last edited by Mr.M4st3r; 09-04-2012, 05:17 PM.
          تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

          Comment


          • #6
            دمو هم بزارید ما خریداریم
            .شب تشریف بیارید بطور آنلاین خدمتتون میدیم.
            تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

            Comment


            • #7
              modsecurity

              چند وقتی هست متاسفانه تو شبگرد هر کی نمی تونه جواب بده یک تیکه می پرونه .
              آقا نمی تونی جواب بدی یا نمی خوای جواب بدی بیخیال شو .
              و اما جواب :
              روی Apache در لینوکس و ویندوز بحث کمی متفاوته.
              اول مشخص کن ویندوز یا لینوکس می خوای .
              با توجه به پیش فرضی که از Apache در لینوکس استفاده میشه من در لینوکس برات توضیح میدم .
              کلا ابزار برای مانیتورینگ زیاده مثل snort و mod Security و....
              ولی چیزی که مهمه اینه که چطور بتونی براشون rule تعریف کنی و قوانین را براشون اعمال کنی .
              باید اول نوع نرم افزار مانیتورینگ را مشخص کنی بعد بریم سر وقت rule ها .
              خوب چون برای apache می خوایی بهتره از ابزارهایی مثل مد سکیوریتی استفاده کنی که به صورت module بر روی آپاچی نصب میشه .
              در مدسکیوریتی مبحث rule ها مبحث گسترده ای می باشدکه در صورت عدم تجربه دستکاری rule ها پیشنهاد نمی شود.
              من یک مثال ساده می زنم. به عنوان مثال شما اگه می خوایی در مد سکیوریتی تعریف کنی که اگر کاربر در Request کاراکترهایی مثل union select زد بلاک بشه بسته به نوع variable مشخص شده درمدسکیوریتی rule رو به صورت زیر می نویسی :
              SecRule ARGS:catid "(?i:UNION\s+SELECT)" "ctl:auditLogParts=+E,deny,setvar:'tx.msg=ET WEB_SPECIFIC_APPS

              در دستور بالا اول نوع argument که از کاربر میگره رو مشخص می کنی در مرحله بعد operator را تعریف می کنی و سپس keyword که میخواهید بررسی شودرا معین می کنید . و سپس transactionمربوطه مشخص می گردد و در فاز بعد نیز نحوه لاگ کردن درخواست براساس اولویت 1 تا 5 خود mosecurity تنظیم می کنید که اولویت بهتر اولویت3 می باشد که در اینجا اولویت 3 مشخص می کند که به چه صورت لاگ ها ذخیره شود و در مرحله آخر که از همه مهتر است بخش Action می باشد که شما مشخص می کنی modsecurity در مقابل این درخواست چه عکس العملی داشته باشدکه اینجا deny مشخص شده است که دسترسی از درخواست کنند ه سلب می شود و در آخر نیز می گی درخواست را هم capture کند و message نیز به شما نمایش دهد.

              سوال دیگری بود هستم در خذمتتان.
              امیدوارم مفید باشد.
              My Crime Is My Advisory

              Hacking Is The Best But Security Is The First

              My Crime Is That Of Curiosity

              هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

              Best Secure Hosting

              قبل پست دادن اینو بخون

              Comment


              • #8
                نوشته اصلی توسط dangeroushacker نمایش پست ها
                چند وقتی هست متاسفانه تو شبگرد هر کی نمی تونه جواب بده یک تیکه می پرونه .
                آقا نمی تونی جواب بدی یا نمی خوای جواب بدی بیخیال شو .
                و اما جواب :
                روی Apache در لینوکس و ویندوز بحث کمی متفاوته.
                اول مشخص کن ویندوز یا لینوکس می خوای .
                با توجه به پیش فرضی که از Apache در لینوکس استفاده میشه من در لینوکس برات توضیح میدم .
                کلا ابزار برای مانیتورینگ زیاده مثل snort و mod Security و....
                ولی چیزی که مهمه اینه که چطور بتونی براشون rule تعریف کنی و قوانین را براشون اعمال کنی .
                باید اول نوع نرم افزار مانیتورینگ را مشخص کنی بعد بریم سر وقت rule ها .
                خوب چون برای apache می خوایی بهتره از ابزارهایی مثل مد سکیوریتی استفاده کنی که به صورت module بر روی آپاچی نصب میشه .
                در مدسکیوریتی مبحث rule ها مبحث گسترده ای می باشدکه در صورت عدم تجربه دستکاری rule ها پیشنهاد نمی شود.
                من یک مثال ساده می زنم. به عنوان مثال شما اگه می خوایی در مد سکیوریتی تعریف کنی که اگر کاربر در Request کاراکترهایی مثل union select زد بلاک بشه بسته به نوع variable مشخص شده درمدسکیوریتی rule رو به صورت زیر می نویسی :
                SecRule ARGS:catid "(?i:UNION\s+SELECT)" "ctl:auditLogParts=+E,deny,setvar:'tx.msg=ET WEB_SPECIFIC_APPS

                در دستور بالا اول نوع argument که از کاربر میگره رو مشخص می کنی در مرحله بعد operator را تعریف می کنی و سپس keyword که میخواهید بررسی شودرا معین می کنید . و سپس transactionمربوطه مشخص می گردد و در فاز بعد نیز نحوه لاگ کردن درخواست براساس اولویت 1 تا 5 خود mosecurity تنظیم می کنید که اولویت بهتر اولویت3 می باشد که در اینجا اولویت 3 مشخص می کند که به چه صورت لاگ ها ذخیره شود و در مرحله آخر که از همه مهتر است بخش Action می باشد که شما مشخص می کنی modsecurity در مقابل این درخواست چه عکس العملی داشته باشدکه اینجا deny مشخص شده است که دسترسی از درخواست کنند ه سلب می شود و در آخر نیز می گی درخواست را هم capture کند و message نیز به شما نمایش دهد.

                سوال دیگری بود هستم در خذمتتان.
                امیدوارم مفید باشد.
                سلام
                ممنون از پاسخ .

                اما مطلب من چیز دیگری هست.
                من فقط یک پلتفرم/ماژول خیلی ساده از نوع Structure ای که بر مبنای Detect فقط چند آسیب پذیری خیلی معمولی میخوام که URL های مبتنی بر لاگ های آپاچی رو بصورت realtime بررسی کنه (هیچ نوع Protect و اعمالات خاصی هم انجام نشه) لازم دارم.
                به این صورت بگم که خیلی ماژول Simple ای باشه که هرکی که کامپیوتر رو هم از دور ندیده بتونه بفهمه ! (البته در این حد هم نه !)

                پیوست : لینوکس (ویندوز چیه بابا؟)
                تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

                Comment


                • #9
                  من متوجه نشدم می خوایی که اون لاگ آپاچی رو ببینی ؟
                  می خوایی چیو بررسی کنه مثلا ؟
                  My Crime Is My Advisory

                  Hacking Is The Best But Security Is The First

                  My Crime Is That Of Curiosity

                  هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                  Best Secure Hosting

                  قبل پست دادن اینو بخون

                  Comment


                  • #10
                    ببین ، میخوام براساس لاگ های آپاچی هر نوع حرکت مخرب (حالا میخواد اکسپلویت آسیب پذیری باشه ، میخواد تستینگ باشه یا هرچی ...) بر مبنای url رو هشدار بده.
                    تمام.
                    تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

                    Comment


                    • #11
                      به صورت پیش فرض که این تو لینوکس امکان نداره ولی میتونی با ترکیب مد سکیوریتی و Config Server Firewall اینو محقق کنی که هر request مشکوکی بیاد توسط lfd برات ایمیل میاد که این ip براساس rule های مدسکیوریتی اقدام مشکوکی کرده و آدرس url رو هم میده . که تنها بدی که داره اینه که سریعا همان لحظه آی پی را بلوکه میکنه .
                      ----------
                      پیوست : برای این کار و دسته بندی لاگ های مشکوک و معمولی و ارسال آنها به ایمیل شما اسکریپتی قبلا نوشته شده است که مشمول هزینه است و per server لایسنس می تونم بهت بدم.
                      My Crime Is My Advisory

                      Hacking Is The Best But Security Is The First

                      My Crime Is That Of Curiosity

                      هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                      Best Secure Hosting

                      قبل پست دادن اینو بخون

                      Comment


                      • #12
                        نوشته اصلی توسط dangeroushacker نمایش پست ها
                        به صورت پیش فرض که این تو لینوکس امکان نداره ولی میتونی با ترکیب مد سکیوریتی و Config Server Firewall اینو محقق کنی که هر request مشکوکی بیاد توسط lfd برات ایمیل میاد که این ip براساس rule های مدسکیوریتی اقدام مشکوکی کرده و آدرس url رو هم میده . که تنها بدی که داره اینه که سریعا همان لحظه آی پی را بلوکه میکنه .
                        ----------
                        پیوست : برای این کار و دسته بندی لاگ های مشکوک و معمولی و ارسال آنها به ایمیل شما اسکریپتی قبلا نوشته شده است که مشمول هزینه است و per server لایسنس می تونم بهت بدم.
                        عزیز ، من بحثم اصلاً روی CSF , CXS , کلاً ملحقات مجموعه ی ConfigServer نیست.
                        Rule هم برای Mod_Sec به اندازه ی کافی از Owasp و ... هست.

                        اما بحث من کاملاً غیر از اینا هست.
                        من یک ماژول آپاچی میخوام که لاگ ها رو بصورت realtime بررسی و اگر اون 4 تا سناریو که توی پست سومم فکر کنم آوردم رو بیاد برام گزارش کنه. همین فقط.
                        به پلتفرم های بقیه کاری ندارم
                        تا کی بجای خود ما، نقاب ما حرف بزنه؟ تا کی سکوت و رج زدن، نقش نمایش منه؟

                        Comment


                        • #13
                          نه برای این کار من چیزی در این مورد از Apache سراغ ندارم
                          My Crime Is My Advisory

                          Hacking Is The Best But Security Is The First

                          My Crime Is That Of Curiosity

                          هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                          Best Secure Hosting

                          قبل پست دادن اینو بخون

                          Comment


                          • #14
                            نوشته اصلی توسط dangeroushacker نمایش پست ها
                            چند وقتی هست متاسفانه تو شبگرد هر کی نمی تونه جواب بده یک تیکه می پرونه .
                            آقا نمی تونی جواب بدی یا نمی خوای جواب بدی بیخیال شو .
                            و اما جواب :
                            روی Apache در لینوکس و ویندوز بحث کمی متفاوته.
                            اول مشخص کن ویندوز یا لینوکس می خوای .
                            با توجه به پیش فرضی که از Apache در لینوکس استفاده میشه من در لینوکس برات توضیح میدم .
                            کلا ابزار برای مانیتورینگ زیاده مثل snort و mod Security و....
                            ولی چیزی که مهمه اینه که چطور بتونی براشون rule تعریف کنی و قوانین را براشون اعمال کنی .
                            باید اول نوع نرم افزار مانیتورینگ را مشخص کنی بعد بریم سر وقت rule ها .
                            خوب چون برای apache می خوایی بهتره از ابزارهایی مثل مد سکیوریتی استفاده کنی که به صورت module بر روی آپاچی نصب میشه .
                            در مدسکیوریتی مبحث rule ها مبحث گسترده ای می باشدکه در صورت عدم تجربه دستکاری rule ها پیشنهاد نمی شود.
                            من یک مثال ساده می زنم. به عنوان مثال شما اگه می خوایی در مد سکیوریتی تعریف کنی که اگر کاربر در Request کاراکترهایی مثل union select زد بلاک بشه بسته به نوع variable مشخص شده درمدسکیوریتی rule رو به صورت زیر می نویسی :
                            SecRule ARGS:catid "(?i:UNION\s+SELECT)" "ctl:auditLogParts=+E,deny,setvar:'tx.msg=ET WEB_SPECIFIC_APPS

                            در دستور بالا اول نوع argument که از کاربر میگره رو مشخص می کنی در مرحله بعد operator را تعریف می کنی و سپس keyword که میخواهید بررسی شودرا معین می کنید . و سپس transactionمربوطه مشخص می گردد و در فاز بعد نیز نحوه لاگ کردن درخواست براساس اولویت 1 تا 5 خود mosecurity تنظیم می کنید که اولویت بهتر اولویت3 می باشد که در اینجا اولویت 3 مشخص می کند که به چه صورت لاگ ها ذخیره شود و در مرحله آخر که از همه مهتر است بخش Action می باشد که شما مشخص می کنی modsecurity در مقابل این درخواست چه عکس العملی داشته باشدکه اینجا deny مشخص شده است که دسترسی از درخواست کنند ه سلب می شود و در آخر نیز می گی درخواست را هم capture کند و message نیز به شما نمایش دهد.

                            سوال دیگری بود هستم در خذمتتان.
                            امیدوارم مفید باشد.
                            منظورت منم؟
                            بنده با ایشون حساب دیگه ای دارم و نیازی به توضیح به شما نیست
                            هر ک^سخلی میرسه یه چیزی میزنه اینجا ما 2 کلمه گفتیم شد اسپم و تیکه؟؟
                            حوصله نوشتن ندارم ما ساکت میشیم مثل همیشه دوستان بحث کنن
                            دل بفرمایید

                            Comment


                            • #15
                              بحث کلا بحث علمیه نمی خوام با کل کل تاپیک رو خراب کنم .
                              بنده هم نیازی نمی بینم که توضیح بخوام در مورد حساب شما !!!
                              هر ک سخلی این کارو بکنه شما هم باید این کارو بکنید؟
                              به نظر من هر جسابی با هم دارید تو pm خیلی بهتر می تونید از خجالت همدیگه در بیاید. فکر نکنم در انذار مناسب باشه .
                              به هر حال ... موفق باشید.
                              My Crime Is My Advisory

                              Hacking Is The Best But Security Is The First

                              My Crime Is That Of Curiosity

                              هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                              Best Secure Hosting

                              قبل پست دادن اینو بخون

                              Comment

                              Working...
                              X