Na konferenci Black Hat USA 2012 byl ve středu vydán nástroj pro testování webových aplikačních firewallů (WAF). Zkoumá zda tímto zabezpečením může proniknout přibližně 150 technikami ochrany na úrovni protokolu.
Testovací nástroj i výzkum, který jeho vytvoření předcházel, je prací Ivana Ristiće, dodavatele bezpečnostních řešení ve společnosti Qualis a autora populárního webového aplikačního firewallu ModSecurity. Webové aplikační firewally jsou navrženy k ochraně webových aplikací před známými útoky jako například SQL injection, které jsou často využívány k průniku do webových serverů. To dělají přerušením požadavků, které jsou odeslány přes klienta a vynucením striktních pravidel jejich formátování.
V současnosti ale stále existují různorodé metody, pomocí kterých může přes WAF projít zákeřný požadavek, který tato pravidla porušuje. A to upravením určitých částí hlavičky nebo manipulací s URL. Tyto techniky jsou známy jako průniky na úrovni protokolu a webové aplikační firewally zatím nejsou dostatečně vybaveny k tomu, aby si s nimi poradily. Tyto techniky totiž zatím nejsou pořádně zdokumentovány, řekl Ristić.
Ristić testoval především techniky, které našel v ModSecurity, ale dá se předpokládat, že proti nim nejsou odolné ani ostatní WAF. Erwin Huber Dohner, vedoucí výzkumu a vývoje ve švýcarské společnosti Ergon Informatik, po zhlédnutí Ristićovy prezentace potvrdil, že jsou tyto únikové metody problémem celého oboru WAF. Dohener také řekl, že Ergon nedávno identifikoval a vyřešil podobné techniky, které fungovaly proti jejich produktům.
Ristić doufá, že zveřejnění výzkumu odstartuje diskuzi nejen o průnicích na úrovni protokolu, ale i dalších problémech. Pokud dodavatelé a bezpečnostní výzkumníci tyto problémy nezdokumentují, vývojáři WAF budou dělat stejné chyby stále dokola, řekl Ristić. K vytvoření volně dostupného katalogu únikových technik WAF proto také připravil specializovanou wiki.
Volná dostupnost tohoto testovacího nástroje mimo jiné umožní uživatelům zjistit, které produkty WAF jsou zranitelné, a snad donutí jejich dodavatele k opravě. Dodavatelé mají obvykle jiné priority a chyby většinou neopravují, pokud pro jejich zákazníky nejsou opravdovým rizikem, řekl Ristić.
Dohner tuto iniciativu vítá a věří, že prospěje vývojářů WAF i jejich uživatelům.
Nový nástroj nabízí 150 testů webových aplikačních firewallů
Testovací nástroj dokáže zjistit, zda jsou webové aplikační firewally odolné proti únikovým technikám na úrovni protokolu.
autor Markéta Gajdošová | SecurityWorld |
Související články
Výsledky soutěže WebTop100 o nejlepší web: Vítězem je ČEZ
Řešení pro optimalizaci webových aplikací představil Citrix
Novell uvedl na trh už osmou verzi systému GroupWise – nově s podporou Webu 2.0
Web Digitálně.tv má přinést rady s digitálním televizním vysíláním
Metal-Alliance zavádí projekt webové samoobsluhy
SecurityWorld
Útoků na cloudy dramaticky přibývá
Microsoft Advanced Threat Analytics korelace
Roste počet pokusů o vykradení bankovních účtů
Behaviorální biometrie jako lék proti heslům
Nabídka bezpečí pro malé a střední firmy
Tagy: wbový aplikační firewall · WAF · web · útok na úrovni protoklu · testovací nástroj
Linkuj
| Jagg
| Delicious
| Facebook
| vybrali.sme.sk
Komentáře