Page principale >Hacking / Sécurité
Suite...
Suite...
Suite...
Suite...
Suite...
Contourner un Logiciel De Filtrage De Contenu
Il y a plusieurs méthodes permettant de contourner presque n'importe quel logiciel de filtrage de contenu (produits antiviraux, firewall, filtres d'attachement de courrier, etc..). Des produits multiples se sont avérés vulnérables aux méthodes décrites ci-dessous.
Nom de fichier codé dans Content-Type/Content-Disposition:
La plupart des logiciels de courrier déterminent si un secteur codé par MIME est réellement un attachement en recherchant l'attribut 'nommé '(habituellement trouvé dans le Contenu-Type) ou en recherchant l'attribut de 'nom de fichier '(habituellement situé à l'intérieur du Contenu-Disposition). Si l'attribut de 'nom 'ou de 'nom de fichier 'ne sont pas présent la plupart de logiciel ne trouvera pas l'attachement.
De plus, ''nom 'et ''nom de fichier 'peuvent contenir des mots encodés causant l'échec de la détection .
Habituellement le Contenu-Type ressemble à:
Contenu-Type: application/binary; name="eicar.com "
Ou
Contenu-Type: application/binary; name="=?us-ascii?Q?eicar=Ècom? = "
Cependant, puisqu'il y a différents algorithmes de serveur, certains peuvent ne pas vérifier:
Contenu-Type: text/plain; name==?us-ascii?Q?eicar.com? =
quelques variantes:
name=eicar.com
name=""eicar.com
com name=eicar
name="eicar.com
name==?us-ascii?Q?eicar.com? =
name==?us-ascii?Q?eicar?=.com
name="eicar.=?us-ascii?Q?com? = "
name="eicar.=?us-ascii?Q?com? =
name=eicar.=?us-ascii?Q?com? =
name=eicar.=?us-ascii?Q?co?=m
Dans ces cas, beaucoup de serveurs ne détecteront pas l'extension .com ou ne trouveront pas de fichier joint (note: base64 peut être employé au lieu de quoted-printable).
Un autre de ce genre serait:
name="=?us-ascii?B?eica.com
Multiple filenames/boundaries
comment le logiciel se comporte s'il y a des noms multiples ou des attributs boundary ?
Exemple:
Contenu-Type: text/plain;
name="safe.txt ";
name="eicar.com "
La plupart des programmes de client emploieront le dernier nom ou boundary, mais le bon logiciel de filtrage de contenu devrait bloquer ce genre de messages ou vérifier toutes les situations possibles.
Exploitation "de byte NUL empoisonné"
Puisqu'un équivalent d'ASCII's d'un '0 '(NULLE) est habituellement considéré comme un terminateur de string, un problème peut se produire quand il est manipulé par différents genres d'algorithmes de la modification de chaîne de caractères.Un byte NUL peut être stocké à l'intérieur des données qui sont codées en utilisant la base 64 ou en utilisant quoted-printable.
Problèmes de uuencode
Le uuencode est un vieux format pour les attachements de transfert de dossier. Puisque le format n'exige pas une pièce de MIME, beaucoup de logiciels le néglige.
un cas uuencoded de dossier commence par XXX filename.ext où 'XXX 'est la permission de dossier dans le codage octal.
Le problème se produit dans les noms de fichier qui contiennent les espaces, par exemple:
666 eicar .com
etc..etc...etc......
d'apres securiteam
La plupart des logiciels de courrier déterminent si un secteur codé par MIME est réellement un attachement en recherchant l'attribut 'nommé '(habituellement trouvé dans le Contenu-Type) ou en recherchant l'attribut de 'nom de fichier '(habituellement situé à l'intérieur du Contenu-Disposition). Si l'attribut de 'nom 'ou de 'nom de fichier 'ne sont pas présent la plupart de logiciel ne trouvera pas l'attachement.
De plus, ''nom 'et ''nom de fichier 'peuvent contenir des mots encodés causant l'échec de la détection .
Habituellement le Contenu-Type ressemble à:
Contenu-Type: application/binary; name="eicar.com "
Ou
Contenu-Type: application/binary; name="=?us-ascii?Q?eicar=Ècom? = "
Cependant, puisqu'il y a différents algorithmes de serveur, certains peuvent ne pas vérifier:
Contenu-Type: text/plain; name==?us-ascii?Q?eicar.com? =
quelques variantes:
name=eicar.com
name=""eicar.com
com name=eicar
name="eicar.com
name==?us-ascii?Q?eicar.com? =
name==?us-ascii?Q?eicar?=.com
name="eicar.=?us-ascii?Q?com? = "
name="eicar.=?us-ascii?Q?com? =
name=eicar.=?us-ascii?Q?com? =
name=eicar.=?us-ascii?Q?co?=m
Dans ces cas, beaucoup de serveurs ne détecteront pas l'extension .com ou ne trouveront pas de fichier joint (note: base64 peut être employé au lieu de quoted-printable).
Un autre de ce genre serait:
name="=?us-ascii?B?eica.com
Multiple filenames/boundaries
comment le logiciel se comporte s'il y a des noms multiples ou des attributs boundary ?
Exemple:
Contenu-Type: text/plain;
name="safe.txt ";
name="eicar.com "
La plupart des programmes de client emploieront le dernier nom ou boundary, mais le bon logiciel de filtrage de contenu devrait bloquer ce genre de messages ou vérifier toutes les situations possibles.
Exploitation "de byte NUL empoisonné"
Puisqu'un équivalent d'ASCII's d'un '0 '(NULLE) est habituellement considéré comme un terminateur de string, un problème peut se produire quand il est manipulé par différents genres d'algorithmes de la modification de chaîne de caractères.Un byte NUL peut être stocké à l'intérieur des données qui sont codées en utilisant la base 64 ou en utilisant quoted-printable.
Problèmes de uuencode
Le uuencode est un vieux format pour les attachements de transfert de dossier. Puisque le format n'exige pas une pièce de MIME, beaucoup de logiciels le néglige.
un cas uuencoded de dossier commence par XXX filename.ext où 'XXX 'est la permission de dossier dans le codage octal.
Le problème se produit dans les noms de fichier qui contiennent les espaces, par exemple:
666 eicar .com
etc..etc...etc......
d'apres securiteam
Les + Lus Dans Cette Catégorie
Le Processus d activation de Windows XP mis a nu
Mais quel sont les informations que windows XP envoit à microsoft lors de l'activation du systeme d'exploitation? Quand on connait la politique de la vie privée de redmond, on s'attend au pire....Suite...
Savoir si La RIAA vous en veut
Vous etes un acharné du download sur Kazaa. Votre mule tourne a 110 % et votre disque dur pullule de DivX. Ce que vous ne savez peut etre pas, c'est que vous etes peut etre le prochain sur la liste des poursuites judiciaires de la RIAA.Suite...
le portable Orange SPV vulnerable
Une faille de securité touche le portable Orange SPV ( sound picture video ). Le probleme provient des signatures numériques gerées par un logiciel developpé par ... Microsoft :)Suite...
17 ans et 2000 sites hackes, dont 1 de trop !
DKD, 17 ans et demi, lycéen, a été arrèté chez ses parents à Vélizy-Villacoublay après une enquête de policiers de la criminalité informatique. Après s'etre attaqué au site de la NAVY, c'est le site ..... d'une préfecture qui lui aurait été fatal.Suite...
et de 1 pour office 2003
"Overview of the Office 2003 Critical Update", c'est le nom du premier rejeton d'une grande lignée de bug et patch que s'apprete a connaitre le nouveau Microsoft Office 2003.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
