apache Dos Vulnerability (Range bytes) – rev:2

exploit http://seclists.org/fulldisclosure/2011/Aug/175

취약점 : 대량의 Range byte 필드 이 후 accept-encoding 헤더

탐지룰 :

alert tcp any any -> any $HTTP_PORT (content:”|0d0a|Range|3a|”; nocase; pcre:”/^Range\x3a\s*bytes\s*\x3d\s*[^\r\n]{500,}/im”; threshold:type both, track by_dst, count 20, seconds 5;)

false positive : Range byte의 값이 500자가 넘지만 정상인경우도 있을 수 있음. Range: bytes 이후 accept-encoding 헤더가 존재할경우만.

rev:2 추가 – 임계치 설정.

Advertisements

About this entry