Black Hat 2012: jedno narzędzie, 150 sposobów na obejście zabezpieczeń
- Antoni Steliński,
- 27.07.2012, godz. 13:47
Podczas konferencji Black Hat 2012 zaprezentowano nowe narzędzie do testowania zabezpieczeń firewalli aplikacji webowych (WAF - web application firewall). Stworzony przez Ivana Ristica z firmy Qualys program wykorzystuje ok. 150 różnych metod obchodzenia zabezpieczeń.
Nie od dziś wiadomo jednak, że takie zabezpieczenia da się obchodzić - możliwe jest np. takie modyfikowanie nagłówków zapytań, by firewall uznał potencjalnie szkodliwy kod za bezpieczny. Ta metoda wprowadzania złośliwego kodu nie jest jeszcze zbyt dobrze opisana i udokumentowana, dlatego też niewiele jest narzędzi, które potrafią skutecznie chronić aplikacje webowe przed tym typem ataku.
Ristic zebrał wszystkie najpopularniejsze metody stosowane przez przestępców w jednym narzędziu do testowania zabezpieczeń aplikacji webowych - specjalista tłumaczy, że testował je głównie przeciwko popularnemu firewallowi ModSecurity, ale jest wysoce prawdopodobne, że na takie ataki narażone są również inne WAF-y.
"Mam nadzieję, że udostępnienie takiego narzędzie zainicjuje dyskusję na temat bezpieczeństwa firewalli aplikacji webowych i zaowocuje tworzeniem skuteczniejszych zabezpieczeń" - tłumaczy Ristic. Specjalista stworzył już serwis Wiki, w którym gromadzone mają być informacje na temat ataków na aplikacje webowe. "Dzięki temu unikniemy sytuacji, w której twórcy firewalli cały czas popełniają te same błędy, bo nie wiedzą, że ktoś znalazł i rozwiązał dany problem już wcześniej" - podsumował ekspert.