Solo Bushcraft: Camping Alone in the Woods
W Black Hat USA wydano narzędzie do testowania, czy firewalle aplikacji internetowych (WAF) są podatne na około 150 technik unikania na poziomie protokołów. Konferencja bezpieczeństwa 2010 w środę
Narzędzie i badania, które weszły w jego powstanie, to dzieło Ivana Ristisa, dyrektora ds. Inżynierii w firmie Qualys zajmującej się bezpieczeństwem i oryginalnego autora popularnej zapory sieciowej ModSecurity.
Aplikacja internetowa Zapory ogniowe są zaprojektowane w celu ochrony aplikacji sieci Web przed znanymi atakami, takimi jak ataki typu SQL injection, które są powszechnie używane w celu złamania zabezpieczeń witryn. Robią to poprzez przechwytywanie żądań wysyłanych przez klientów i egzekwowanie ścisłych reguł dotyczących ich formatowania i ładunku.
Istnieją jednak różne metody ukrywania złośliwych żądań, które naruszają prawa te reguły mijają WAF, modyfikując niektóre części ich nagłówków lub ścieżki żądanych adresów URL. Są one znane jako techniki uchylania się na poziomie protokołu, a WAF nie są odpowiednio wyposażone, aby radzić sobie z nimi w tej chwili, ponieważ techniki te nie są dobrze udokumentowane, powiedział Ristic.
Badacz przetestował techniki unikania, które odkrył przede wszystkim przeciwko ModSecurity, zapora sieciowa o otwartym kodzie źródłowym, ale rozsądne jest założenie, że inne WAF są również podatne na niektóre z nich.
W rzeczywistości, Ristic powiedział, że podzielił się kilkoma technikami z innymi na etapie badań i że testowali Z powodzeniem radzą sobie z niektórymi komercyjnymi produktami WAF.
Erwin Huber Dohner, szef działu badań i rozwoju w szwajcarskim dostawcy WAF Ergon Informatik, potwierdził po prezentacji Ristic'a, że metody uchylania się są problemem dla branży. Ostatnio Ergon zidentyfikował pewne podobne techniki, które działały wbrew jego produktowi i zwrócił się do nich, powiedział.
Poprzez upublicznienie swoich badań, Ristic ma nadzieję rozpocząć dyskusję w branży na temat poziomu protokołu i innych rodzajów oszustw. Utworzono także wiki w celu stworzenia ogólnodostępnego katalogu technik unikania WAF.
Jeśli sprzedawcy i analitycy bezpieczeństwa nie udokumentują problemów i nie ujawnią ich, programiści WAF będą popełniać te same błędy w kółko , Powiedział Ristic.
Poza tym dostępność narzędzia testowego pozwoli użytkownikom odkryć, które produkty WAF są podatne na atak i, miejmy nadzieję, zmusić sprzedawców do ich naprawienia.
Dostawcy mają różne priorytety i zwykle nie naprawiają, chyba że istnieje prawdziwe ryzyko dla swoich klientów, powiedział Ristic. Ten projekt badawczy, miejmy nadzieję, wygeneruje niezbędną zachętę do radzenia sobie z tymi problemami, powiedział.
Dohner z zadowoleniem przyjął inicjatywę i wierzy, że przyniesie ona korzyści zarówno programistom, jak i użytkownikom WAF.
Bezpłatne narzędzie do szyfrowania żądań DNS wydane dla Windows
Firma ochroniarska specjalizująca się w systemie nazw domen wydała wersję systemu Windows narzędzia, które szyfruje Żądania DNS, które można śledzić w celu ujawnienia ...
Narzędzie wydane w Black Hat zawiera 150 sposobów na obejście zapór sieciowych
Narzędzie do testowania zapór ogniowych aplikacji internetowych (WAF) ) są podatne na około 150 technik unikania na poziomie protokołu, wydanych podczas imprezy Black Hat.
Narzędzie do usuwania trojana Flashback wydane przez Apple
Flashback Trojan Removal Tool Wydany przez Apple
