Microsoft IIS 6.0 ASP Stack Overflow (Stack Exhaustion) Denial of Service detection rule

관련 POC

http://www.exploit-db.com/exploits/15167/

테스트 결과 웹 서버는 service unavailable 응답 코드 발생

특징 :  요청시 160000바이트 데이터페이로드 생성

페이로드는 C=A&C=A& 반복.

content length 로 160000이 찍히나 변경가능.

페이로드 수정하면 탐지 못함.

탐지룰 : alert tcp any any -> any 80 (flow:established, to_server; content:”HEAD|20|”; depth:5; content:”.asp|20|HTTP|2f|1.”; nocase; distance:0; content:”C=A|26|C=A|26|C=A|26|C=A|26|”; nocase; distance:0;)

Advertisements

About this entry