[HACK] Web Filter

Nuno Treez nunotreez at akrata.org
Fri Mar 8 16:13:48 CET 2002


:> Ante todo un saludo a los colegas de la lista.

Saludados quedamos.

:> Recurro a ustedes para pediros una posible solucion al problema que tengo
:> accesando internet.

accesando? Curioso gerundio...

:>
:> Resulta que soy un usuario como cualquier otro dentro de una red  de area
:> local.

No, no lo eres, te preocupas por tu derecho a la privacidad. Eso te
diferencia
de los demás.

:>
:> La pregunta es la siguiente, ¿existe alguna forma de burlar este
:> programa o
:> ser invisible a el...de manera que no registre mis accesos?

Ideas:

- La primera, y más cómoda es que hagas las peticiones desde una máquina
externa con
la que tengas un túnel de cifrado. No se vería nada y además estarías seguro
99%.

- La segunda es que utilices alguna herramienta que te haga alguna de las
técnicas
que se usaban antiguamente para escapar de los IDS. Algo que te haga de
proxie para
conectarte a Internet

Te pongo un ejemplo para que lo entiendas, está sacado de un mail con spam,
que
pasó los filtros de mi ISP:

<spam>
Hey, My name is Cindy, and I host adult webcam chats. I am 19
It is all here: http://www.%61%64%64%69ct%69%76e%73e%78.com
</spam>

La URL para que tu la entendieses sería www.adictivesex.com.

Busca información sobre evasión, te doy una pequeña lista de técnicas,
extraída de
un interfaz web de configuración de un IDS comercial:

Utilizando la famosa petición del phf:

* Padding extra slashes /cgi-bin///phf
* Self-referencing directories /cgi-bin/./phf
* URL encoding /%63gi-bin/phf
* Reverse Traversal /cgi-bin/blah/../phf
* Premature request ending /%20HTTP/1.0%0d%0aHeader:%20/../../cgi-bin/phf
* Parameter hiding /index.htm%3fparam=/../cgi-bin/phf
* HTTP mis-formatting GET < tab > /cgi-bin/phf < tab >
* Long URLs /rfprfp < lots of characters > rfprfp/../cgi-bin/phf
* DOS/Win directory syntax /cgi-bin\phf
* NULL method processing GET%00 /cgi-bin/phf

- La tercera, es usar algún proxie que te permita navegar escapando a esas
situaciones:

http://www.a4u.at

Puede que si buscase algo más podría encontrarlo, pero el interesado eres
tú. ;)
Búscate el camino, por ejemplo:

'encoding proxy' es una buena cadena para ponérsela a Google. ;)

PD: A aquellos que lo entienden -> Nos vemos en la GOA!

Signed,

--
]-* Francisco Sáa Muñoz [Security Consultant & Tiger Team]
]-* Linux User #119288 | Proud mame.dk user #115087
]-* "What if I'm not elite? Ragna Gronvold says I'm special"
--






More information about the hacking mailing list