站长资讯通告:
6.防其他的EXP和抓0DAY
上面的设置已经比较安全了。但是还不够.
firekeeper可以帮忙.
下面是firekeeper的一条规则
alert(body_content:”anih 24 00 00 00 ”; body_re:”/^RIFF.*anih\x24\x00\x00\x00.*anih(?!\x24\x00\x00\x00)/s”; msg:”possible MS ANI exploit”; reference:url,http://www.determina.com/security.research/vulnerabilities/ani-header.html; )
同理我们可以判断任何jpg,gif里面是不是含有特有的文件头.这样来判断是不是真的图片.
不过真要是图片溢出的话,文件头还有是的.本来也可以禁止的,但是这样禁止的话,就没浏览器的意义了。
所以我给出的firekeeper 一些关键字是
unescape
eval
0x0A0A0A0A
0x0d0d0d0d
0x0c0c0c0c
payload
连续5个的 %u*%u*%u*
连续5个 &#
等等
这样不仅能防,运气好的话说不定还能抓到什么0day.
上面的设置已经比较安全了。但是还不够.
firekeeper可以帮忙.
下面是firekeeper的一条规则
alert(body_content:”anih 24 00 00 00 ”; body_re:”/^RIFF.*anih\x24\x00\x00\x00.*anih(?!\x24\x00\x00\x00)/s”; msg:”possible MS ANI exploit”; reference:url,http://www.determina.com/security.research/vulnerabilities/ani-header.html; )
同理我们可以判断任何jpg,gif里面是不是含有特有的文件头.这样来判断是不是真的图片.
不过真要是图片溢出的话,文件头还有是的.本来也可以禁止的,但是这样禁止的话,就没浏览器的意义了。
所以我给出的firekeeper 一些关键字是
unescape
eval
0x0A0A0A0A
0x0d0d0d0d
0x0c0c0c0c
payload
连续5个的 %u*%u*%u*
连续5个 &#
等等
这样不仅能防,运气好的话说不定还能抓到什么0day.
