Nový nástroj nabízí 150 testů webových aplikačních firewallů

Na konferenci Black Hat USA 2012 byl ve středu vydán nástroj pro testování webových aplikačních firewallů (WAF). Zkoumá zda tímto zabezpečením může proniknout přibližně 150 technikami ochrany na úrovni protokolu.

Testovací nástroj i výzkum, který jeho vytvoření předcházel, je prací Ivana Ristiće, dodavatele bezpečnostních řešení ve společnosti Qualis a autora populárního webového aplikačního firewallu ModSecurity. Webové aplikační firewally jsou navrženy k ochraně webových aplikací před známými útoky jako například SQL injection, které jsou často využívány k průniku do webových serverů. To dělají přerušením požadavků, které jsou odeslány přes klienta a vynucením striktních pravidel jejich formátování.

V současnosti ale stále existují různorodé metody, pomocí kterých může přes WAF projít zákeřný požadavek, který tato pravidla porušuje. A to upravením určitých částí hlavičky nebo manipulací s URL. Tyto techniky jsou známy jako průniky na úrovni protokolu a webové aplikační firewally zatím nejsou dostatečně vybaveny k tomu, aby si s nimi poradily. Tyto techniky totiž zatím nejsou pořádně zdokumentovány, řekl Ristić.

Ristić testoval především techniky, které našel v ModSecurity, ale dá se předpokládat, že proti nim nejsou odolné ani ostatní WAF. Erwin Huber Dohner, vedoucí výzkumu a vývoje ve švýcarské společnosti Ergon Informatik, po zhlédnutí Ristićovy prezentace potvrdil, že jsou tyto únikové metody problémem celého oboru WAF. Dohener také řekl, že Ergon nedávno identifikoval a vyřešil podobné techniky, které fungovaly proti jejich produktům.

Ristić doufá, že zveřejnění výzkumu odstartuje diskuzi nejen o průnicích na úrovni protokolu, ale i dalších problémech. Pokud dodavatelé a bezpečnostní výzkumníci tyto problémy nezdokumentují, vývojáři WAF budou dělat stejné chyby stále dokola, řekl Ristić. K vytvoření volně dostupného katalogu únikových technik WAF proto také připravil specializovanou wiki.

Volná dostupnost tohoto testovacího nástroje mimo jiné umožní uživatelům zjistit, které produkty WAF jsou zranitelné, a snad donutí jejich dodavatele k opravě. Dodavatelé mají obvykle jiné priority a chyby většinou neopravují, pokud pro jejich zákazníky nejsou opravdovým rizikem, řekl Ristić.

Dohner tuto iniciativu vítá a věří, že prospěje vývojářů WAF i jejich uživatelům.