Herramienta con 150 técnicas para eludir firewall de aplicaciones #BlackHat
Ivan Ristic, director de ingeniería de la firma Qualys -autor del popular ModSecurity- ha presentado en el evento de Las Vegas, una herramienta con 150 técnicas capaces de eludir a nivel de protocolo los cortafuegos de aplicaciones web (WAF).
La herramienta está destinada a probar vulnerabilidades sobre Web Application Firewalls (WAFs) diseñados para proteger a las aplicaciones web de ataques conocidos (como inyección SQL) al interceptar peticiones enviadas y aplicar normas estrictas de formateo y carga útil.
Aún así, existen varios métodos para violar estas reglas mediante ‘técnicas de evasión a nivel de protocolo’, algo que ha probado Ristic con éxito, contra el propio ModSecurity y contra otros desarrollos comerciales. Este enfoque en la evasión a nivel de protocolo es parte de otro trabajo, IronBee, un nuevo WAF de código abierto que están desarrollando en Qualys.
Con esta herramienta, Ristic espera poner en marcha un debate en la industria sobre el nivel de protocolo y otros tipos de evasión. "Si los vendedores y los investigadores de seguridad no documentan los problemas y los dan a conocer, los desarrolladores de WAF cometerán los mismos errores una y otra vez", explica Ristic.
Fuente: Muy Seguridad
La herramienta está destinada a probar vulnerabilidades sobre Web Application Firewalls (WAFs) diseñados para proteger a las aplicaciones web de ataques conocidos (como inyección SQL) al interceptar peticiones enviadas y aplicar normas estrictas de formateo y carga útil.
Aún así, existen varios métodos para violar estas reglas mediante ‘técnicas de evasión a nivel de protocolo’, algo que ha probado Ristic con éxito, contra el propio ModSecurity y contra otros desarrollos comerciales. Este enfoque en la evasión a nivel de protocolo es parte de otro trabajo, IronBee, un nuevo WAF de código abierto que están desarrollando en Qualys.
Con esta herramienta, Ristic espera poner en marcha un debate en la industria sobre el nivel de protocolo y otros tipos de evasión. "Si los vendedores y los investigadores de seguridad no documentan los problemas y los dan a conocer, los desarrolladores de WAF cometerán los mismos errores una y otra vez", explica Ristic.
Fuente: Muy Seguridad
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!