Black Hat 2012: jedno narzędzie, 150 sposobów na obejście zabezpieczeń

Podczas konferencji Black Hat 2012 zaprezentowano nowe narzędzie do testowania zabezpieczeń firewalli aplikacji webowych (WAF - web application firewall). Stworzony przez Ivana Ristica z firmy Qualys program wykorzystuje ok. 150 różnych metod obchodzenia zabezpieczeń.

Firewalle aplikacji webowych tworzone są aby chronić takie aplikacje przed typowymi atakami przeprowadzanymi przeciwko serwisom webowym (np. SQL injection). Ich zadaniem jest przechwytywanie i blokowanie wszelkich potencjalnie niebezpiecznych zapytań.

Nie od dziś wiadomo jednak, że takie zabezpieczenia da się obchodzić - możliwe jest np. takie modyfikowanie nagłówków zapytań, by firewall uznał potencjalnie szkodliwy kod za bezpieczny. Ta metoda wprowadzania złośliwego kodu nie jest jeszcze zbyt dobrze opisana i udokumentowana, dlatego też niewiele jest narzędzi, które potrafią skutecznie chronić aplikacje webowe przed tym typem ataku.

Zobacz również:

  • Aplikacje webowe zwiększają ryzyko utraty danych

Ristic zebrał wszystkie najpopularniejsze metody stosowane przez przestępców w jednym narzędziu do testowania zabezpieczeń aplikacji webowych - specjalista tłumaczy, że testował je głównie przeciwko popularnemu firewallowi ModSecurity, ale jest wysoce prawdopodobne, że na takie ataki narażone są również inne WAF-y.

"Mam nadzieję, że udostępnienie takiego narzędzie zainicjuje dyskusję na temat bezpieczeństwa firewalli aplikacji webowych i zaowocuje tworzeniem skuteczniejszych zabezpieczeń" - tłumaczy Ristic. Specjalista stworzył już serwis Wiki, w którym gromadzone mają być informacje na temat ataków na aplikacje webowe. "Dzięki temu unikniemy sytuacji, w której twórcy firewalli cały czas popełniają te same błędy, bo nie wiedzą, że ktoś znalazł i rozwiązał dany problem już wcześniej" - podsumował ekspert.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200