[Pluto-security] Unicode, squid, iis...

Tom dido@sicurweb.com
Fri, 24 May 2002 16:05:22 +0200


Ciao a tutti!
Vorrei chiedervi aiuto riguardo un mio dubbio: sto preparando un=20
application gateway basato su squid per proteggere un bellissimo (?) IIS5=20
da tutti i worm "nimda e codered style". In pratica, quello che accomuna=20
questo tipo di attacchi =E8 il tentativo di lanciare root.exe o cmd.exe.
Fermare le richieste contenenti questa stringa =E8 banale....il problema=20
viene dagli unicode. Infatti, mi sono chiesto: ma se invece di "cmd.exe" il=
=20
worm inserisce all'interno della stringa il codice unicode per il NULL,=20
squid lo becca lo stesso? Secondo me no. Da qui nascono 2 problemi: io non=
=20
sono riuscito a trovare il codice per inserire in una url un NULL byte=20
(tipo nop in esadecimale...per le / ad es =E8 %co%af). Se qualcuno lo=20
conosce, provo volentieri da solo....
Il secondo: qualcuno sa se esistono gi=E0 worm che usno queste tecniche? So=
=20
che esiste una tecnica chiamata "polymorphic shell code" che usa la=20
conversione esadecimale, ma non so se lo fa anche in unicode..
Grazie a tutti

Dido