Novi alat za testiranje sadrži 150 načina da se zaobiđe firewall Web aplikacija

Alat za ispitivanje da li je firewall Web aplikacija (WAF) osetljiva na oko 150 protokol-level tehnika za izbegavanje, pokrenut je juče na Black Hat SAD 2010 bezbednosnoj konferenciji. Alat i istraživanje delo su Ivana Ristića, direktora inženjeringa u bezbednosnoj kompaniji Qualys, i originalnog autora popularne firewall ModSecurity Web aplikacije.

Firewall web aplikacija dizajnirana je za zaštitu Web aplikacije od poznatih napada kao što su SQL Injection napadi, koji se najčešće koriste za kompromitovanje Web sajtova. Oni to čine presretanjem zahteve poslatih od strane klijenata i sprovođenjem strogih pravila o njihovom oblikovanju. Međutim, postoje razne metode sa kojima se zlonamerni zahtevi koji krše ova pravila mogu provući pored WAF izmenom određenih delove u njihovom zaglavlju ili puteva zahtevane URL adrese. Oni su poznati kao protokol-level tehnike izbegavanja, a WAF u ovom trenutku nisu odgovarajuće opremljeni da bi se nosili sa njima jer ove tehnike nisu dobro dokumentovane.

Istraživači su testirali tehnike izbegavanja koje je Ivan Ristić otkrio prvenstveno protiv ModSecurity i Firewall-a open source Web aplikacija. Ivan Ristić naveo je da je tokom faze istraživanja podelio neke od tehnika sa drugima koji su ih uspešno testirali na nekim komercijalnim WAF proizvodima.

Erwin Huber Dohner, šef za istraživanje i razvoj u Ergon Informatik, Švajcarskog WAF proizvođača, nakon prezentacije Ivana Ristića potvrdio je da su tehnike izbegavanja veliki problem za industriju. Objavom svog istraživanje Ivan Ristić se nada da će inicirati raspravu u industriji oko protokol-level i drugih vrsta tehnika izbegavanja.

Ako proizvođači i bezbednosni istraživači ne dokumentuju i objave probleme, WAF programeri će i dalje praviti iste greške.Pored toga, sa ovim alatom za testiranje korisnici će moći otkriti koji WAF proizvodi su ranjivi pa će moći vršiti pritisak na proizvođače da ih poprave. Proizvođači imaju različite prioritete i obično ne popravljaju stvari ukoliko ne postoji realna opasnost za njihove klijentima, rekao je Ivan Ristić.