Web App Penetration Testing - #4 - Web Application Firewall Detection With WAFW00F
Ein Tool zum Testen, ob Web Application Firewalls (WAFs) für etwa 150 Protokoll-Level-Evasion-Techniken anfällig sind, wurde im Black Hat USA veröffentlicht Sicherheitskonferenz 2010 am Mittwoch.
Das Werkzeug und die Forschung, die in seine Entstehung eingeflossen sind, sind die Arbeit von Ivan Ristic, dem Entwicklungsleiter des Sicherheitsanbieters Qualys und dem ursprünglichen Autor der beliebten ModSecurity Web Application Firewall.
Web-Anwendung Firewalls schützen Web-Anwendungen vor bekannten Angriffen wie SQL-Injection-Attacken, die häufig dazu verwendet werden, Websites zu kompromittieren. Sie tun dies, indem sie Anfragen abfangen, die von Clients gesendet werden, und strenge Regeln über ihre Formatierung und Nutzlast durchsetzen.
Es gibt jedoch verschiedene Methoden, böswillige Anfragen zu verletzen Diese Regeln hinterlegen WAFs, indem sie bestimmte Teile ihrer Header oder die Pfade angeforderter URLs ändern. Diese sind als Protokoll-Level-Evasion-Techniken bekannt, und WAFs sind nicht richtig ausgerüstet, um mit ihnen im Moment umzugehen, weil die Techniken nicht sehr gut dokumentiert sind, sagte Ristic.
Der Forscher testete die Ausweichtechniken, die er hauptsächlich gegen ModSecurity fand, eine Open-Source-Web-Application-Firewall, aber es ist vernünftig anzunehmen, dass andere WAFs auch für einige von ihnen anfällig sind.
Tatsächlich teilte Ristic mit, dass er einige der Techniken während der Forschungsphase mit anderen geteilt und getestet habe sie erfolgreich gegen einige kommerzielle WAF-Produkte.
Erwin Huber Dohner, Leiter der Forschungs- und Entwicklungsabteilung des schweizerischen WAF-Anbieters Ergon Informatik, bestätigte nach der Präsentation von Ristic, dass die Umgehungsmethoden ein Problem für die Industrie darstellen. Ergon hat vor kurzem einige ähnliche Techniken identifiziert, die gegen sein Produkt funktionierten und sie adressiert haben, sagte er.
Indem er seine Forschung öffentlich macht, hofft Ristic, eine Diskussion in der Industrie über Protokoll-Level und andere Arten der Umgehung zu starten. Ein Wiki wurde auch mit dem Ziel eingerichtet, einen frei verfügbaren Katalog von WAF-Ausweichtechniken zu erstellen.
Wenn Anbieter und Sicherheitsforscher die Probleme nicht dokumentieren und bekannt machen, werden WAF-Entwickler die gleichen Fehler immer wieder machen , Ristic sagte,
Darüber hinaus wird die Verfügbarkeit der Test-Tool ermöglicht Benutzern zu erkennen, welche WAF-Produkte anfällig sind und hoffentlich Hersteller zwingen, sie zu beheben.
Anbieter haben unterschiedliche Prioritäten und reparieren normalerweise Dinge nicht, es sei denn ein echtes Risiko für ihre Kunden, sagte Ristic. Dieses Forschungsprojekt werde hoffentlich den notwendigen Anreiz für die Bewältigung dieser Probleme schaffen, sagte er.
Dohner begrüßte die Initiative und glaubt, dass dies WAF-Entwicklern und -Benutzern zugute kommen wird.
Tool freigegeben bei Black Hat enthält 150 Möglichkeiten zur Umgehung von Web Application Firewalls
Ein Tool zum Testen, ob Web Application Firewalls (WAFs ) wurden auf dem Black Hat Event veröffentlicht.
Hoffen wir, dass die NSA dieses maschinelle Lernmodell nicht zur Bekämpfung von Drohnenangriffen benutzt hat Die US-amerikanische National Security Agency könnte sich auf ein ernsthaft mangelhaftes maschinelles Lernmodell zur Bekämpfung von Drohnenangriffen in Pakistan stützen, heißt es in einer neuen Analyse von Slides, die der Whistleblower Edward Snowden im vergangenen Jahr aufgedeckt hat.
Die US-amerikanische National Security Agency könnte sich auf eine Laut einer neuen Analyse von Dias, die im vergangenen Jahr von Whistleblower Edward Snowden aufgedeckt wurde, ist das Modell für Maschinenangriffe in Pakistan ein ernstzunehmendes Modell zum gezielten Drohnenangriff.
