| +22 голоса |
|
На проходящей в Лас Вегасе (США) конференции Black Hat 2012 представлен инструмент, который может обойти брандмауэр веб-приложений (web application firewall, WAF)
WAF предназначены для защиты веб-приложений от известных атак, в том числе часто используемых SQL-инъекций, которые перехватывают запрос, отправленный клиентом. Существует ряд методов скрытых вредоносных запросов, которые обходят правила WAF за счет изменений отдельных частей заголовка или пути запрашиваемого URL. Это известные техники, функционирующие на уровне протокола, и в настоящий момент WAF не очень хорошо с ними работают по той простой причине, что эти техники недостаточно документированы. Иван Ристич протестировал ряд методов обхода ModSecurity, и пришел к выводу, что и другие WAF могут быть уязвимы к такого рода вторжениям — оказалось, что некоторые коммерческие WAF действительно можно успешно обходить.
Автор исследования надеется инициировать дискуссию о проблемах обхода современных коммерческих и открытых межсетевых экранах, работающих на уровне приложений. Как отмечает Иван Ристич, если выявленные факты обхода WAF не будут документироваться, разработчики будут совершать одни и те же ошибки. Необходимо также создать общедоступную базу знаний, в которой будут каталогизированы известные на сегодня техники обхода WAF. Вендоры имеют разные приоритеты и нередко устраняют ошибки, только если те представляют реальные риски для клиентов. Новый инструмент позволит пользователям самостоятельно протестировать используемые WAF на наличие уязвимостей.
Стратегія охолодження ЦОД для епохи AI
| +22 голоса |
|
