Nul
(Afbeelding: stock foto)
Een veel gebruikte tool in eigendom van web hosting provider GoDaddy, ontworpen om te voorkomen dat websites gehackt, werd gemakkelijk omzeild, waardoor websites is op risico van diefstal van gegevens.
De website van de vennootschap application firewall (WAF), verstrekt door Sucuri en overgenomen door GoDaddy eerder dit jaar, beschermt websites tegen een reeks van aanvallen door het toevoegen van een extra laag van beveiliging van een website te beschermen tegen cross-site scripting en SQL-injectie-technieken.
Maar een security-onderzoeker vertelde ZDNet dat de firewall zou laten door middel van een aantal opdrachten, die hem toestaat om toegang te krijgen tot kwetsbare databases achter de schermen. Dat, zei hij, doe sites op het risico van diefstal van gegevens.
Touseef Gul was in staat om het omzeilen van de firewall met een relatief simpele SQL-injectie string, die hij toonde op ZDNet maar we zijn niet te publiceren. SQL-injectie aanvallen kunnen worden gestart vanuit de adresbalk van de browser. Als de aanval succesvol is zal het display een lijst van de database tabellen op de website zelf. Waar hij verwachtte een foutbericht ‘toegang geweigerd’ wordt weergegeven, worden de firewall laat de opdracht door en keerde terug met een lijst van de tabellen van het doel van de website van de database. Hij was ook in staat om te verkrijgen van de database-admin-account en MD5 hash wachtwoord, die tegenwoordig gemakkelijk crackable.
Wat de onderzoeker verrast, zei hij, was hoe gemakkelijk het was firewall te omzeilen.
Hij gaf een voorbeeld van een deel van de code die hij gebruikt. Hij zei dat hoewel de firewall blokkeren zou een gemeenschappelijke opdracht gebruikt in SQL-injecties, zoals ‘ UNION SELECT,” een aangepaste, gecodeerde versie van dezelfde opdracht-zoals de UNIE “SELE%63T” (%63 is een gecodeerde “C”) – was niet geblokkeerd door de filter.
Voor zijn deel, GoDaddy zei dat het gepatcht de bug binnen een dag van de security-onderzoeker privé-informatie voor het bedrijf.
“Bij de herziening van deze situatie, lijkt het iemand in staat was om het vinden van een kwetsbare website en manipuleren hun verzoeken om tijdelijk te omzeilen onze WAF,” zei Daniel Cid, GoDaddy ‘ s vice-president van engineering.
“In minder dan een dag, onze systemen in staat waren op te halen deze poging en stoppen,” zei hij.
Cid zei dat het bedrijf “niet bewust van andere klanten” beïnvloed door de bypass, maar zou het niet zeggen hoe veel websites zijn op risico van de bypass-techniek.
Lesley Carhart, een digitaal forensisch onderzoek en incident response-specialist, legt uit dat web application firewalls nabootsing van het gedrag van antivirus producten in plaats van een traditionele firewall.
“In een heleboel manieren aanvallen van het internet zijn veel moeilijker te firewall dan het verkeer in en uit van een netwerk,” zei Carhart. “Je kunt ontkennen bijna alles op een firewall of host van de firewall.”
“Web verkeer filteren vertrouwt meer op een zwarte slechte dingen met handtekeningen dan whitelisting verplaatst zal onnodige poorten en protocollen, zoals de traditionele firewalls,” voegde ze eraan toe.
Web application firewalls blokkeren van aanvallen op sites waarop web-applicaties die al zijn kwetsbaar voor aanvallen, zoals out-of-date content management systemen, zoals WordPress of Joomla, legde ze uit.
“In principe, het is een grote beweging te voeg een andere laag van de verdediging te plaatsen, maar het mag nooit verward worden met een of impliciet een vervanging voor secure coding,” zei ze.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0