Veröffentlicht am Black Hat Tool enthält 150 Möglichkeiten, Web-Application-Firewalls zu umgehen

2014-01-10  |  Comebuy News

Ein Tool zum Testen von Web Application Firewalls (WAFs) sind anfällig für rund 150 Protokollebene ausweichen-Techniken haben wir am Mittwoch auf der Sicherheitskonferenz Black Hat USA 2010 erschien.

Comebuy Verwandte Artikel: Mobile und Web-Sicherheit werden die Hauptthemen Black HatBlack Hat Demo: Google Bouncer kann sein BeatenAJAX Posen Web 2.0 Security ThreatLayered Schutz für Software ApplicationsHow verbessern Ihre Anwendung-Sicherheitsmethoden

Das Tool und die Forschung, die in ihrer Gründung ging sind das Werk von Ivan Ristic, Director of Engineering bei Sicherheitsanbieter Qualys und den ursprünglichen Autor der beliebten ModSecurity Web Application Firewall.

Web Application Firewalls sollen Webanwendungen vor bekannte Angriffe wie SQL-Injection-Angriffen zu schützen, die häufig verwendet werden, um Webseiten zu gefährden. Sie tun dies durch Abfangen Anfragen von Clients gesendeten und Durchsetzung der strenge Regeln über ihre Formatierung und Nutzlast.

Es gibt jedoch verschiedene Methoden zum heimlich bösartiger-Anforderungen, die diese Regeln verletzen Vergangenheit WAFs durch Ändern von bestimmten Teilen ihre Header oder die Pfade des angeforderten URLs. Diese sind bekannt als Protokollebene ausweichen Techniken und WAFs sind nicht richtig, im Moment mit ihnen umzugehen, weil die Techniken nicht sehr gut dokumentiert sind, sagte Ristic, ausgestattet.

Der Forscher getestet, der ausweichen-Techniken fand er vor allem gegen ModSecurity, ein open-Source-Web-Application-Firewall, aber es ist davon auszugehen, dass andere WAFs anfällig für einige von ihnen auch sind.

In der Tat, sagte Ristic teilte er ein paar Techniken mit anderen Phase der Forschung und, dass sie sie gegen einige kommerzielle WAF-Produkte erfolgreich getestet hatte.

Erwin Huber Dohner, Leiter Forschung und Entwicklung am Sitz in der Schweiz WAF-Hersteller Ergon Informatik, bestätigt nach der Besichtigung Ristics Präsentation, die ausweichen-Methoden ein Problem für die Industrie sind. Ergon identifiziert vor kurzem einige ähnlichen Techniken, die gegen sein Produkt gearbeitet und haben angesprochen, sagte er.

Indem Sie seine Forschung öffentlich machen, hofft Ristic, Kick-Start eine Diskussion in der Branche über Protokollebene und andere Arten von ausweichen. Eine Wiki wurde auch eingerichtet mit dem Ziel der Aufbau eines frei verfügbaren Katalogs WAF ausweichen Techniken.

Wenn Anbieter und Sicherheitsexperten nicht die Probleme dokumentieren und sie bekannt machen, machen WAF-Entwickler die gleichen Fehler immer und immer Ristic sagte.

Darüber hinaus wird die Verfügbarkeit von das Testtool Benutzern zu entdecken, welche WAF-Produkte anfällig sind und hoffentlich zwingen Anbieter zu beheben.

Anbieter haben unterschiedliche Prioritäten und nicht normalerweise Dinge reparieren, es sei denn, dass eine reale Gefahr für ihre Kunden, sagte Ristic. Dieses Forschungsprojekt hoffentlich den notwendigen Anreiz für sie, mit diesen Problemen umzugehen generieren wird, sagte er.

Dohner begrüßt die Initiative und glaubt, dass es WAF-Entwickler und Anwender gleichermaßen profitieren.

« Back