webutm

modsecurity是一个非常不错的开源web应用防火墙项目，就像snort一样，其规则是开源社区一大财富，至少提供了一种描述web攻击防护规则的共同语言。现在提供modsecuirty规则的主要有modsecurity和getroot。
这两天分析了一下这两个规则集，初步整理如下。
规则来源及版本：
getroot免费规则：
http://downloads.prometheus-group.com/delayed/rules/modsec-200809221633.tar.gz
modsecurity core rule：
http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.1.tar.gz

分析采用缺省规则进行，缺省注释掉没有启用的规则不分析。 getroot统计有效规则(含SecRule关键字的规则）5373条， modsecurity有效规则126条。
分析包括参数（Variables）统计、变换函数（Transformation functions）统计和规则关联关系统计（chian，skip）。参数统计是统计出现次数，一条有效规则中可能出现几次，比如ARGS，一条规则可能出现多次，出现几次统计几次。变换函数一条规则中只只出现一次，因此和规则条数统计一致。关联关系统计是统计chain，skip，skipafter的次数，反应规则之间相互联系的统计。

统计结果如下:

getroot参数出现次数及排名：
7959 ARGS
3647 REQUEST_URI
313 REQUEST_BODY
250 url
237 REQUEST_HEADERS
199 params
136 link
96 Referer
95 User-Agent
86 id
79 team
77 redirect
76 comment
73 website
73 return
73 referrer
72 referer
71 ref
71 body
71 helpbox
71 ureferrer
71 refertoyouby
70 bg_image
70 imageFile
70 media_gallery
70 outbound
70 product
70 oaparams
70 loc
70 out
70 filecontent
70 images
69 redirect_to
69 ajaxurl
69 base_url
69 helpurl
69 backurl
69 serverurl
68 refer
68 siteurl
68 introtext
68 Post
68 resource
68 url2send
68 basehref
67 userpicpersonal
67 fck_body
67 attach-url
66 last_msg
66 referredby
66 stories_cat
66 fulltext
66 sUrl
66 thelink
66 HOMEPAGE_URL
66 texty
66 view
66 ATTACHMENTS_URL
66 resource_box
66 fck_brief
66 comments_commentFind
66 altTag
66 pay_list_type
66 areaContent2
66 FULL_URL
66 linkdescr
66 website_link
66 _wp_original_http_referer
66 products_image
66 inc
66 oldmsg
66 templatePath
65 request_url
64 blog_url
64 x_receipt_link_url
64 lk_url
64 clickurl
64 return_link_url
64 config_helpurl
64 install_url

getroot规则变换函数及排名：
262 urlDecode
262 urlDecodeUni
181 lowercase
170 compressWhitespace
135 htmlEntityDecode
110 replaceNulls
106 normalisePath
100 hexDecod
100 base64Decode
21 replaceComments
1 none
1 length

getroot规则关联关系次数统计：
1649 chain

modsecurity变量出现次数统计及排名：
68 REQUEST_HEADERS
30 XML
29 REQUEST_FILENAME
29 ARGS
22 RESPONSE_BODY
22 ARGS_NAMES
21 Referer
8 User-Agent
6 REQUEST_METHOD
5 REQUEST_HEADERS_NAMES
5 REQUEST_HEADERS
5 Content-Length
4 RESPONSE_STATUS
3 REQUEST_COOKIES
3 X-OS-Prefs
3 Host
3 REQUEST_COOKIES_NAMES
3 REQUEST_LINE
3 REQUEST_URI
3 Cookie
2 Content-Type
2 Transfer-Encoding
2 &GLOBAL
2 REMOTE_ADDR
2 Accept
2 Content-Encoding
2 via
2 REQUEST_BODY
2 REQUEST_PROTOCOL

modsecurity规则变换函数出现次数及排名：
123 none
62 lowercase
47 htmlEntityDecode
31 urlDecode
30 urlDecodeUni
24 compressWhitespace
16 replaceComments
2 length

modsecurity规则关联关系统计次数及排名：
19 chain
13 skip

台北場：

時間	內容	主講人
13:00~13:30	報到
13:30~14:20	主題：網站安全防禦術 講義：下載	陶靖霖 (阿碼科技資安顧問)
14:20~14:30	中場休息
14:30~15:20	主題：網頁安全實務 講義：下載	李柏逸 (網駭科技技術顧問)
15:20~15:30	中場休息
15:30~16:20	主題：2008年度攻防手法整理探討 講義：下載	呂守箴 (漢昕科技資安顧問)
16:20~16:30	Q & A

台中場：

時間	內容	主講人
13:00~13:30	報到
13:30~14:20	主題：網站安全防禦術 講義：下載	陶靖霖 (阿碼科技資安顧問)
14:20~14:30	中場休息
14:30~15:20	主題：網頁瀏覽安全威脅與對策 講義：下載	林育民 (Cisco資深技術經理)
15:20~15:30	中場休息
15:30~16:20	主題：2008年度攻防手法整理探討 講義：下載	呂守箴 (漢昕科技資安顧問)
16:20~16:30	Q & A

高雄場：

時間	內容	主講人
09:15~09:30	報到
09:30~10:50	主題：網站安全防禦術 講義：下載	陶靖霖 (阿碼科技資安顧問)
10:50~11:00	中場休息
11:00~12:00	主題：網頁瀏覽安全威脅與對策 講義：下載	林育民 (Cisco資深技術經理)
12:00~13:30	休息用餐
13:30~14:45	主題：Web 2.0新應用的新威脅的解決之道 講義：下載	余俊賢 (阿碼科技資安顧問暨ASF教育訓練總監)
14:20~14:30	中場休息
15:00~16:15	主題：2008年度攻防手法整理探討 講義：下載	呂守箴 (漢昕科技資安顧問)
16:15~16:30	Q & A

安全专家们最近发出警告，一个最新发现的跨浏览器攻击漏洞将带来非常可怕的安全问题，该漏洞影响所有主流桌面平台，包括，IE, Firefox, Safari, Opera 以及 Adobe Flash。

这个被称为 Clickjacking 的安全威胁，原本要在 OWASP NYC AppSec 2008 大会上公布，但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞，直到他们开发出安全补丁。

发现这个漏洞的是两个安全研究专家，Robert Hansen 与 Jeremiah Grossman，他们已经略透露了一点相关信息以显示该安全威胁的严重性。

Clickjacking 到底是什么东西？

两为研究专家说，他们所发现的绝非小问题，事实上，很严重，他们在透露这些信息之前需要负起责任，这些问题一环套一环，至少已经有两家厂商表示会提供补丁，但日期未定，我们目前只和有限的几个厂家探讨这个问题，所以，问题很严重。

根据那些在 OWASP 参加过半公开性演示的人透露，这个漏洞非常紧急，将影响到所有浏览器，而且它和 JavaScript 并没有关系：

• 总的来说，当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器，除非你使用 lynx 一类的字符浏览器。这个漏洞与 JavaScript 无关，即使你关闭浏览器的 JavaScript 功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按纽或网站上 任意东西。

如果这还不能让你恐慌的话，想想这样的情形，一个用户在被攻击的时候将毫不知情而且束手无策：

• 比如在 Ebay,因为可以嵌入 JavaScript，虽然攻击并不需要 JavaScript，但可以让攻击更容易进行。只用 lynx 字符浏览器才能保护你自己，同时不要任何动态的东西。该漏洞用到 DHTML，使用防 frame 代码可以保护你不受跨站点攻击，但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上，所以，那些 Flash 游戏将首当其冲。

据 Hansen 讲，他们已经同微软以及 Mozilla 谈论过这个问题，然而他们均表示这是个非常棘手的问题，目前没有简单的解决办法。

Grossman 确切表示，微软最新的 IE8 和 Mozilla 最新的 Firefox 3 均不能幸免。

• 当前，唯一的办法是禁用浏览器的脚本和插件功能。

据 SophosLabs 报道，Adobe 拥有的 seriousmagic.com 网站刚刚遭受 Asprox 僵尸网络的 SQL 注射攻击，成为近来被攻击的最著名站点。

被感染的网页位于 hxxp://www.seriousmagic.com/help/tuts/tutorials.cfm?p=1, 访问该页的用户将被偷偷地安装一个恶意程序。Adobe 两年前宣布收购 Serious Magic，现在 Serious Magic 的 Whois 信息显示，Adobe 是它的新主人。

据反病毒厂商 Sophos 的一篇文章透露，Adobe 已经注意到自己的网页被感染，但 The Register 周四用虚拟机试图访问这个感染页的时候，发现仍被引导到一些恶意站点，包括 hxxp://abc.verynx.cn/ w.js 以及 hxxp://1.verynx.cn/w.js。目前，这两个地址已经失效，但攻击中使用的另外几个地址，包括 hxxp://jjmaobuduo.3322.org/csrss/ w.js 与 hxxp://www2.s800qn.cn/csrss/ new.htm 仍然有效。

Asprox 僵尸网络 5，6月期间曾成功攻击过 Redmond magazine，Sony Playstation 等著名站点，没过多久，Serious Magic 再成为牺牲品。

被感染的每一个网页都被无休止地执行一段 Javascript 代码并将用户引导到恶意站点或广告站点。同时，w.js 会尝试各种系统漏洞，并使用以下结构，将一个查杀率很低的病毒 Worm.Win32.AutoRun.qtg 安装到用户的系统。（该病毒的查杀率仅80.56%）

www2.s800qn.cn /csrss/ new.htm
www2.s800qn.cn /csrss/ flash.htm
www2.s800qn.cn /csrss/ i1.htm
www2.s800qn.cn /csrss/ f2.htm
www2.s800qn.cn /csrss/ i1.html
www2.s800qn.cn /csrss/ flash112.htm
www2.s800qn.cn /csrss/ ff.htm
www2.s800qn.cn /csrss/ xl.htm
www2.s800qn.cn /csrss/ mi.htm
www2.s800qn.cn /csrss/ real10.htm
www2.s800qn.cn /csrss/ real11.htm
bbexe.com /csrss/ rondll32.exe

目前，Adobe 似乎已经清除了这个病毒。