Na konferenci Black Hat USA 2012 byl ve středu vydán nástroj pro testování webových aplikačních firewallů (WAF). Zkoumá zda tímto zabezpečením může proniknout přibližně 150 technikami ochrany na úrovni protokolu.
Testovací nástroj i výzkum, který jeho vytvoření předcházel, je prací Ivana Ristiće, dodavatele bezpečnostních řešení ve společnosti Qualis a autora populárního webového aplikačního firewallu ModSecurity. Webové aplikační firewally jsou navrženy k ochraně webových aplikací před známými útoky jako například SQL injection, které jsou často využívány k průniku do webových serverů. To dělají přerušením požadavků, které jsou odeslány přes klienta a vynucením striktních pravidel jejich formátování.
V současnosti ale stále existují různorodé metody, pomocí kterých může přes WAF projít zákeřný požadavek, který tato pravidla porušuje. A to upravením určitých částí hlavičky nebo manipulací s URL. Tyto techniky jsou známy jako průniky na úrovni protokolu a webové aplikační firewally zatím nejsou dostatečně vybaveny k tomu, aby si s nimi poradily. Tyto techniky totiž zatím nejsou pořádně zdokumentovány, řekl Ristić.
Ristić testoval především techniky, které našel v ModSecurity, ale dá se předpokládat, že proti nim nejsou odolné ani ostatní WAF. Erwin Huber Dohner, vedoucí výzkumu a vývoje ve švýcarské společnosti Ergon Informatik, po zhlédnutí Ristićovy prezentace potvrdil, že jsou tyto únikové metody problémem celého oboru WAF. Dohener také řekl, že Ergon nedávno identifikoval a vyřešil podobné techniky, které fungovaly proti jejich produktům.
Ristić doufá, že zveřejnění výzkumu odstartuje diskuzi nejen o průnicích na úrovni protokolu, ale i dalších problémech. Pokud dodavatelé a bezpečnostní výzkumníci tyto problémy nezdokumentují, vývojáři WAF budou dělat stejné chyby stále dokola, řekl Ristić. K vytvoření volně dostupného katalogu únikových technik WAF proto také připravil specializovanou wiki.
Volná dostupnost tohoto testovacího nástroje mimo jiné umožní uživatelům zjistit, které produkty WAF jsou zranitelné, a snad donutí jejich dodavatele k opravě. Dodavatelé mají obvykle jiné priority a chyby většinou neopravují, pokud pro jejich zákazníky nejsou opravdovým rizikem, řekl Ristić.
Dohner tuto iniciativu vítá a věří, že prospěje vývojářů WAF i jejich uživatelům.
Nový nástroj nabízí 150 testů webových aplikačních firewallů
Testovací nástroj dokáže zjistit, zda jsou webové aplikační firewally odolné proti únikovým technikám na úrovni protokolu.
autor Markéta Gajdošová | SecurityWorld |
Související články
Výsledky soutěže WebTop100 o nejlepší web: Vítězem je ČEZ
Řešení pro optimalizaci webových aplikací představil Citrix
Novell uvedl na trh už osmou verzi systému GroupWise – nově s podporou Webu 2.0
Web Digitálně.tv má přinést rady s digitálním televizním vysíláním
Metal-Alliance zavádí projekt webové samoobsluhy
SecurityWorld
Ransomwaru přibývá, firmy se zatím nepoučily. Češi jsou zodpovědní
O ochranu soukromí nejevíme zájem
Úroveň kyberbezpečnosti v organizacích je přímo úměrná ochotě vzdělávat se
GFI Unlimited Secure Email: Bezpečná elektronická pošta pro SMB
SMB firmy nejvíce trpí vyššími nároky na kyberbezpečnost

Komentáře