[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02004] Re: snort IIS Unicode attack　signature

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:02004] Re: snort IIS Unicode attack　signature
From: Keiji Takeda <keiji@xxxxxxxxxxxxxx>
Date: Thu, 08 Mar 2001 10:21:37 +0900

  こんにちは
  ホワイトデーの贈り物は決まりましたか？
  こだわりのお花を集めてみました。
  手書きのメッセージを添えてあなたの気持ちを伝えます。
         http://www.kadan.ne.jp/bn.cgi?info03 
------------------------------------------------------------------------


武田圭史です。

その後追ってないので情報としては意味なしですが、、、。
以前関係しそうなMLで問い掛けてみたのですが反応が
得られませんでした。

snortの
spp_http_decodeのPreprocUrlDecode()の中で、
%c0%c1%e0%f0%f8%fc
のチェックをかけてるんです。
どうもここが該当しているらしいのだけど、
これが何にヒットしているのかまだしらべてません。

私のところではIE5.50SP1 On WinMEで反応してしまってます。
cobaltの件だけでなくていろんなブラウザでこれがひっかかるみたいです。
このあたり日本語圏からフィードバックする必要があるのかなぁ。

お願いします。＞snort masterの皆さん

　　　　　　　　　　　by pakemonマスター

hama san wrote on Thu, 08 Mar 2001 10:18:38 +0900
>Cobalt Cubeのメーリングリストで、英語版 CUBE3 で発見したsnort IIS 
>Unicode attackの話題が出ています。
>http://www.cobaltqube.org/ml/archive/coba-d/20010304.week/2617.html
>
>これって、64.7.21.19から単にIIS Unicode アタックが来ているだけのような
>気がするんですが、本当のところ、どうなんでしょう？（バナーは見てないの
>か？）
>
>あと、snortのIIS Unicode attack signatureは誤検知が多くて使い物にならん
>というのを みっきーさん とこの掲示板で見たような気がするのですが，実際
>のところどうなんでしょう？＞snort masterの皆さん

Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )

References:
- [connect24h:02003] snort IIS Unicode attack　signature
  - From: hama

Prev by Date: [connect24h:02003] snort IIS Unicode attack　signature
Next by Date: [connect24h:02005] はじめまして。
Previous by thread: [connect24h:02003] snort IIS Unicode attack　signature
Next by thread: [connect24h:02005] はじめまして。
Index(es):
- Date
- Thread

[connect24h:02004] Re: snort IIS Unicode attack signature

[connect24h:02004] Re: snort IIS Unicode attack　signature