I've got a new SO worked up that we're going to publish to labs soon that shows exactly whats in the various buffers.  I'll gen up some pcaps and publish the results here.  Hopefully we'll get it released soon after the first of the year.  There are some sql-inject brute force scripts I've been meaning to test anyways.<div>
<br>If you guys have tools you want me to check out as part of this, send me info.</div><div><br>Matt<br><br><div class="gmail_quote">On Mon, Dec 28, 2009 at 7:40 PM, Paul Schmehl <span dir="ltr"><<a href="mailto:pschmehl_lists@...3425...">pschmehl_lists@...3425...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I believe normalization will remove those as well, but someone from<br>
Sourcefire will have to confirm that.<br>
<br>
--On December 29, 2009 12:15:53 AM +0000 Guise McAllaster<br>
<div class="im"><<a href="mailto:guise.mcallaster@...2420...">guise.mcallaster@...2420...</a>> wrote:<br>
<br>
</div>> Sure:<br>
><br>
> <a href="http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/" target="_blank">http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/</a><br>
><br>
> Search for "/**/"<br>
><br>
> A good point somebody says is that we need to know what exactly the<br>
> URL normalization is done so we can know what it eliminates.  Some<br>
> like "%20" and "+" or "++" are sure recognized but others?  What are<br>
> they?<br>
><br>
> Snort has been victim to some bypasses in the past (no offense, VRT).<br>
<div><div></div><div class="h5">><br>
> Guise<br>
><br>
> On 12/28/09, Paul Schmehl <<a href="mailto:pschmehl_lists@...3437......">pschmehl_lists@...3425...</a>> wrote:<br>
>> Can you provide an example of that?<br>
>><br>
>> --On December 28, 2009 4:15:20 PM -0600 Guise McAllaster<br>
>> <<a href="mailto:guise.mcallaster@...2420...">guise.mcallaster@...2420...</a>> wrote:<br>
>><br>
>>><br>
>>> From what I've seen, some SQLi will work using "/**/" instead of<br>
>>> spaces.  Other bypasses are possible as well I thinks.  Others want to<br>
>>> contribute some useful bypasses to spaces?<br>
>>><br>
>>> Guise<br>
>>><br>
>>> On 12/28/09, Paul Schmehl <<a href="mailto:pschmehl_lists@...3425...">pschmehl_lists@...3425...</a>> wrote:<br>
>>>> --On December 28, 2009 12:10:37 PM -0600 Matt Olney<br>
>>>> <<a href="mailto:molney@...435...">molney@...435...</a>> wrote:<br>
>>>><br>
>>>>> I see a lot of false positive for generic SQL injection rules.  For<br>
>>>>> example, SID 13514 shown here:<br>
>>>>><br>
>>>>> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL<br>
>>>>> generic sql update injection attempt"; flow:established,to_server;<br>
>>>>> content:"update"; nocase; pcre:"/update[^\n]*set/i"; metadata:policy<br>
>>>>> security-ips drop, service http;<br>
>>>>> reference:url,<a href="http://www.securiteam.com/securityreviews/5DP0N1P76E.html" target="_blank">www.securiteam.com/securityreviews/5DP0N1P76E.html</a>;<br>
>>>>> classtype:web-application-attack; sid:13514; rev:4;)<br>
>>>>><br>
>>>>> Alas it alerts for normal traffic like this:<br>
>>>>><br>
>>>>> GET /get_updates_1/assessment/frameset_yellow.asp  HTTP/1.1<br>
>>>><br>
>>>> I don't see how a sql injection attempt is going to begin with any<br>
>>>> character other than a space preceding it.  How would the sql engine<br>
>>>> be able to parse that?  ISTM that the update could simply be anchored<br>
>>>> on both sides; e.g pcre:"$update^/i";  For update to work, the only<br>
>>>> thing that can be on either side of it is a non-alpha character or a<br>
>>>> single quote, which the sql parser will discard.  If you want to<br>
>>>> include set (which makes sense), I would make it a separate<br>
>>>> detection.  A typical update statement would be UPDATE table SET<br>
>>>> blah='foo' where blah='bar' or blah like '%doo%';<br>
>>>><br>
>>>> Something like this would be better, in my opinion.<br>
>>>><br>
>>>> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL<br>
>>>> generic sql update injection attempt"; flow:established,to_server;<br>
>>>> content:"update"; nocase; pcre:"/$update^/i"; content:"set"; nocase;<br>
>>>> pcre:"/$set^/i"; metadata:policy security-ips drop, service http;<br>
>>>> reference:url,<a href="http://www.securiteam.com/securityreviews/5DP0N1P76E.html" target="_blank">www.securiteam.com/securityreviews/5DP0N1P76E.html</a>;<br>
>>>> classtype:web-application-attack; sid:13514; rev:5;)<br>
>>>><br>
>>>> Mind you, I haven't tested it, but it would certainly eliminate the<br>
>>>> false positive given in the example.<br>
>>>><br>
>>>> Paul Schmehl, If it isn't already<br>
>>>> obvious, my opinions are my own<br>
>>>> and not those of my employer.<br>
>>>> ******************************************<br>
>>>> WARNING: Check the headers before replying<br>
>>>><br>
>>>><br>
>>>> ---------------------------------------------------------------------<br>
>>>> -- ------- This SF.Net email is sponsored by the Verizon Developer<br>
>>>> Community Take advantage of Verizon's best-in-class app development<br>
>>>> support A streamlined, 14 day to market process makes app distribution<br>
>>>> fast and easy Join now and get one step closer to millions of Verizon<br>
>>>> customers <a href="http://p.sf.net/sfu/verizon-dev2dev" target="_blank">http://p.sf.net/sfu/verizon-dev2dev</a><br>
>>>> _______________________________________________<br>
>>>> Snort-sigs mailing list<br>
>>>> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br>
>>>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>><br>
>><br>
>><br>
>> Paul Schmehl, If it isn't already<br>
>> obvious, my opinions are my own<br>
>> and not those of my employer.<br>
>> ******************************************<br>
>> WARNING: Check the headers before replying<br>
>><br>
>><br>
><br>
<br>
<br>
<br>
Paul Schmehl, If it isn't already<br>
obvious, my opinions are my own<br>
and not those of my employer.<br>
******************************************<br>
WARNING: Check the headers before replying<br>
<br>
<br>
------------------------------------------------------------------------------<br>
This SF.Net email is sponsored by the Verizon Developer Community<br>
Take advantage of Verizon's best-in-class app development support<br>
A streamlined, 14 day to market process makes app distribution fast and easy<br>
Join now and get one step closer to millions of Verizon customers<br>
<a href="http://p.sf.net/sfu/verizon-dev2dev" target="_blank">http://p.sf.net/sfu/verizon-dev2dev</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</div></div></blockquote></div><br></div>