Otimizando a detecção de ataques de SQL Injection no OSSEC HIDS

ossec_logoAlexandro Silva postou em seu blog uma regra a ser utilizada no OSSEC HIDS a  fim de otimizar a detecção de ataques SQL Injection que utilizam técnicas de  evasão.

Ataques usando SQL Injection normalmente são detectados com a utilização de  WAF (Web Application Firewall) e IDS/IPS(Intrusion Detection System/Intrusion  Prevention System), mas o ataque pode obter sucesso ao utilizar técnicas evasivas.

No decorrer da preparação de sua palestra (“Criando um appliance Open Source  para mitigar vulnerabilidades de serviços e aplicações”) para o FLISOL-SSA,  Alexandro desenvolveu um conjunto de regras para o OSSEC que otimiza o tempo  de identificação e bloqueio de um ataque. As regras foram aceitas pelo OSSEC e estarão disponíveis na próxima atualização, atual versão alfa.

Veja como utilizar as regras, antes mesmo da disponibilidade da nova versão do OSSEC, através do Blog Alexos Core Labs.