Исследовательский центр Positive Research повысил эффективность Web Appliaction Firewall
Главная » Новости

Исследовательский центр Positive Research повысил эффективность Web Appliaction Firewall

Александр Панасенко 29 Июня 2011 - 14:03
...

Компания Trustwave, разработчик Web Application Firewall ModSecurity организовала открытое тестирование эффективности защиты веб-приложений. В рамках SQL Injection Challenge, было предложено легально обойти механизмы ModSecurity, блокирующие атаки типа типа SQL Injection.



Тестирование состояло из двух этапов. В рамках первого этапа участники должны были использовать уязвимость SQL Injection для получения данных из СУБД тестовых сайтов. На втором этапе задание усложнялось тем, что при выполнении тех же самых действий участникам было необходимо обойти правила фильтрации ModSecurity и не вызвать срабатывание межсетевого экрана.

Иннициатива «ModSecurity SQL Injection Challenge» привлекла внимание множества исследователей. Участие в тестировании приняли и эксперты инновационного подразделения компании Positive Technologies – исследовательского центра Positive Research. Вопросы эффективности средств защиты привлекают внимание экпертов исследовательского центра не в первый раз. Так, еще в 2009 году ведущий эксперт Positive Research Дмитрий Евтеев предложил универсальный способ обхода фильтрации ModSecurity. Его замечания были приняты во внимание при разработке новой версии ModSecurity.

В результате проведённого экспертами Positive Research анализа были успешно выполнены все задания и обнаружены векторы обхода WAF ModSecurity с последними правилами фильтрации. Результаты исследования были переданы разработчикам для повышения эффективности межсетевого экрана.

Руководитель исследовательского центра Positive Research Александр Анисимов комментирует: «Использование Web Application Firewall защищает большинство веб-приложений от массовых атак. Однако, опыт проведения тестов на проникновение показывает, что развернутые Web Application Firewall «из коробки» не способны противодействовать целому ряду целенаправленных атак. Таким образом, наиболее оптимально использовать WAF как средство для устранения обнаруженных уязвимостией. Такую возможность дает, например, интеграция системы контроля защищенности и соответствия стандартам MaxPatrol с Web Application Firewall ModSecurity».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и вызвать DoS
Екатерина Быстрова 15 Августа 2025 - 09:31
Атаки на сайтыУязвимости сайтовDoS-атаки Общее
Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и вызвать DoS

Исследователи выявили новую уязвимость в HTTP/2 под названием MadeYouReset, которая может использоваться для проведения мощных DoS-атак. Проблема затрагивает несколько популярных реализаций протокола, включая Apache Tomcat, F5 BIG-IP и Netty, и уже получила общий идентификатор — CVE-2025-8671.

Главная опасность в том, что MadeYouReset позволяет обойти стандартное ограничение в 100 одновременных запросов на одно TCP-соединение, которое обычно защищает сервер от перегрузки.

С помощью специальным образом сформированных кадров злоумышленник может инициировать тысячи запросов и в некоторых случаях вызвать падение сервера из-за переполнения памяти.

Техника основывается на предыдущей атаке Rapid Reset, но при этом полностью обходит защиту от неё. Вместо того чтобы отправлять RST_STREAM кадры от клиента, злоумышленник провоцирует сам сервер отправить их, используя шесть разных способов нарушения работы протокола — например, передачу кадров PRIORITY с неправильной длиной или отправку данных после закрытия потока.

Это создаёт ситуацию, когда сервер сбрасывает поток, но продолжает обрабатывать запрос в бэкенде, что приводит к истощению ресурсов.

CERT/CC предупреждает: уязвимость вызвана несоответствием между спецификацией HTTP/2 и реальной архитектурой веб-серверов. Эксперты Imperva отмечают, что это ещё одно напоминание о необходимости защищать инфраструктуру от тонких, формально корректных атак.

Интересно, что на фоне этой новости компания PortSwigger рассказала о новой волне атак на HTTP/1.1 — так называемых HTTP request smuggling, где за счёт неоднозначности в обработке запросов можно обходить фильтры и захватывать сайты. Эксперты напоминают: HTTP/2 в этом плане куда безопаснее, но он должен использоваться не только на «входе» в инфраструктуру, но и во внутренних соединениях между прокси и серверами.

На днях мы писали о проблеме HTTP/1.1, угрожающей миллионам сайтов. Речь идёт о так называемых HTTP-атаках десинхронизации — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Доступ к Госуслугам предлагают восстановить через MAX
Новость
Доступ к Госуслугам предлагают восстановить через MAX
ВТБ и НСПК представили средство противодействия кражам через NFCGate
Новость
ВТБ и НСПК представили средство противодействия кражам через...
Сотрудник ФСИН задержан за передачу служебной информации
Новость
Сотрудник ФСИН задержан за передачу служебной информации

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.