ISS Realsecure 对CGI攻击的检测可以被绕过 　　

受影响系统：

　　Internet Security Systems RealSecure 3.2.1999

　　Internet Security Systems RealSecure 3.2

　　Internet Security Systems RealSecure 3.1

　　Internet Security Systems RealSecure 3.0

　　- Microsoft Windows NT 4.0SP6

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0SP5

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0SP4

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0SP3

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0SP2

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0SP1

　　+ Microsoft Windows NT 4.0

　　- Microsoft Windows NT 4.0

　　描述：

　　某些版本的ISS(Internet Security Systems) RealSecure网络入侵检测软件(NDIS)存在一些

　　问题。攻击者可以进行CGI攻击，而RealSecure并不能检测出这种攻击。

　　rain.forest.puppy开发了一个新的CGI检测软件：Whisker 。它针对大多数IDS的设计上的弱

　　点，采用多种方法来绕过IDS的监测。利用最新的Whisker v1.3.0a并使用HEAD方式来进行CGI

　　检测，RealSecure就不能发现这种CGI攻击。另外，使用传统的GET方式(-M 2)也可能绕过

　　Realsecure,只是必须采用evading mode(逃避方式)0,6或者两种都用.

　　<* 来源: Stephane Aubert *>

　　测试方法：

　　警 告

　　以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负!

　　./whisker.pl -h xxx.yyy.zzz.ttt -I 1246

　　./whisker.pl -h xxx.yyy.zzz.ttt -I 0 -M 2

　　./whisker.pl -h xxx.yyy.zzz.ttt -I 6 -M 2

　　./whisker.pl -h xxx.yyy.zzz.ttt -I 60 -M 2

　　whisker的有关内容可以在这里找到：

　　http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2