首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
[讨论]HTTP协议头部非ASCII字符,潜在的攻击行为
发表于: 2011-11-18 13:54 3596

[讨论]HTTP协议头部非ASCII字符,潜在的攻击行为

ctaotao 活跃值
6
2011-11-18 13:54
3596
HTTP协议RFC2616628K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3W2W2N6r3k6Q4x3X3g2G2M7X3N6Q4x3V1k6J5k6X3y4Q4x3V1k6J5k6X3x3J5y4U0p5$3i4K6u0W2N6s2S2@1规定HTTP 头部字符集都是ASCII:
       OCTET          = <any 8-bit sequence of data>
       CHAR           = <any US-ASCII character (octets 0 - 127)>
       UPALPHA        = <any US-ASCII uppercase letter "A".."Z">
       LOALPHA        = <any US-ASCII lowercase letter "a".."z">
       ALPHA          = UPALPHA | LOALPHA
       DIGIT          = <any US-ASCII digit "0".."9">
       CTL            = <any US-ASCII control character
                        (octets 0 - 31) and DEL (127)>
       CR             = <US-ASCII CR, carriage return (13)>
       LF             = <US-ASCII LF, linefeed (10)>
       SP             = <US-ASCII SP, space (32)>
       HT             = <US-ASCII HT, horizontal-tab (9)>
       <">            = <US-ASCII double-quote mark (34)>
如果出现非ascii字符,则是协议异常。异常的背后可能隐藏网络攻击,可能包含了shellcode。

同理,对于其他字符型协议FTP,SMTP等, 它们的命令和参数都被定义成ASCII字符,非ASCII字符的出现,则表明协议异常,攻击潜藏。

参加:2a8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5M7r3I4G2K9i4c8Q4x3X3c8V1j5W2)9J5k6h3y4G2L8g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4g2!0n7c8g2)9^5z5q4!0q4y4g2!0m8y4q4)9&6b7f1k6f1f1q4!0q4y4#2)9&6b7g2)9^5y4r3u0#2k6X3k6W2M7R3`.`. overflow的攻击,攻击代码中的shellcode都出现在FTP命令,或者参数中。

结论:如果阻断异常协议网络包,就可以阻断大部分网络攻击。

听听大家的想法。谢谢。

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (5)
ctaotao
雪    币: 324
活跃值: (113)
能力值: ( LV15,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2

这样的HTPP包是合法的吗? 疑惑中
上传的附件:
2011-11-18 14:11
0
Fido
雪    币: 107
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我在想,这些厂商的产品,基本功能应该是过滤这些规则吧?
2011-11-18 14:20
0
ctaotao
雪    币: 324
活跃值: (113)
能力值: ( LV15,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
4
能不能制定一个规则,直接阻断含有协议非法字符的数据包。会不会造成误报。
2011-11-18 14:37
0
skypismire
雪    币: 75
活跃值: (883)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
ids ips应该是这么做的吧.针对 特定的协议,凡是不符合协议规定的,统统喀嚓
2011-11-18 15:41
0
cscoder
雪    币: 403
活跃值: (330)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
私信
6
如果攻击者使用纯字符shellcode呢?
2011-11-22 09:07
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回