Реализация: создание новых правил
Описываемый сканер уязвимостей - один из тех, которые можно легко и быстро обновлять вручную. Arirang содержит около 18 баз сканирования, хранимых в файлах с расширением *.uxe. По умолчанию положение этих баз данных определяется в момент компиляции программы. В OpenBSD, *.uxe файлы размещаются в директории /usr/local/share/arirang.
Отдельные правила определяются параметром -r. Ниже показано, как проверить вашу сеть на наличие червя Code Red или его потенциальных целей.
$ arirang -G -s 192.168.0.1 -e 192.168.3.255 \ > -P 20 -r /usr/local/share/arirang/codered.uxe
На первый взгляд, правила arirang могут показаться сложными для понимания, но все они следуют простой схеме. Рассмотрим несколько правил для примера.
200 OK- HEAD :/index.html.bak^Backup index.html file;Remove backup and test files from the web document root; 403- GET :/admin/^/admin/ directory;; 200 OK- HEAD :/include/^/include/ directory;Disable directory listings; 200 OK- GET :/msadc/..%255c..%255c..%255c../winnt/system32/cmd.exe? /c+dir^IIS Superfluous Decode;MS01-026;
Правила разделяются на семь полей, при этом первое поле не обязательно. В таблице 8.3 описываются составные части правила для arirang.
| Receive code Код получения [OOB | PEEK | ALL] | (Необязательный.) Arirang может обработать сообщение Out-Of-Band (OOB) или Peek (залезть) в его содержимое. Это редко используется, но включено, чтобы средство поддерживало любой тип проверки уязвимости. ALL используется для ожидания ответа с сервера. Несколько проверок вынуждают сервер зависать или не возвращать никаких данных, включая заголовки. |
| Response code Код ответа | Обычно это числовой ответ с Web-сервера. 404 означает - не найдено, а 200 означает ОК, что подтверждает существование файла. Заметьте, что arirang требует от вас представлять 200 как 200 ОК. Другие коды ответов могут быть числовыми, т.е. 403. Это не обязательно должно быть кодом ответа HTTP, но может быть строкой длиной до 50 байтов (символов), чтобы искать в ней ответ HTML. |
| --> | Разделитель между кодом ответа и методом запроса. |
| HTTP request method Метод запроса HTTP | Любой метод запроса HTTP, обозначенный как HTTP/1.0 или HTTP/1.1 RFC. GET, HEAD, и POST используются большую часть времени, но arirang поддерживает такую технику как TRACE и OPTIONS. Метод OPTIONS показывает, какие возможности WebDAV поддерживает сервер. |
| :<URI> | Файл для проверки. Arirang также поддерживает строку запроса URI, т.е. login.asp? user=test>pass=test. Заставьте правило обратиться к определенному порту с помощью синтаксиса ::<port><URL>. Например, ::8080/ admin/docs/default.cfg запускает на порте 8080. Все другие опции остаются такими же. |
| ^<explanation> | Короткое описание уязвимости. |
| ;<information;> | Дальнейшее объяснение уязвимости, ссылка на совет или информацию по отладке. |
Поясняющие и информационные поля позволяют вам осуществлять вывод в сокращенной или расширенной форме.
