Zero
(Immagine: foto d’archivio)
Ampiamente usato strumento di sicurezza di proprietà di provider di web hosting di GoDaddy, progettato per evitare che i siti web hacked, è stato facilmente aggirato, mettendo siti web a rischio di furto di dati.
Il dell’azienda sito web application firewall (WAF), fornito dalla Sucuri e acquisita da GoDaddy all’inizio di quest’anno, protegge i siti web in base a una serie di attacchi da parte l’aggiunta di un ulteriore livello di sicurezza di un sito web per proteggere contro il cross-site scripting (xss e SQL injection tecniche.
Ma un ricercatore di sicurezza ha detto a ZDNet che il firewall permetta attraverso alcuni comandi, che gli permette di accedere ai più vulnerabili database dietro le quinte. Che, ha detto, mettere i siti a rischio di furto di dati.
Touseef Gul è stato in grado di bypassare il firewall con un relativamente semplice stringa SQL injection, che ha dimostrato di ZDNet, ma non siamo di pubblicazione. Attacchi di SQL injection può essere lanciato dal web barra degli indirizzi del browser. Se l’attacco va a buon fine verrà visualizzato un elenco delle tabelle del database del sito stesso. Dove era in attesa di ricevere un messaggio “accesso negato”, il firewall lascia il comando tramite e restituito un elenco di tabelle da il sito web di destinazione del database. Egli è stato anche in grado di ottenere il database di account admin e MD5 hash della password, che oggi è facilmente crackable.
Quello che ha sorpreso il ricercatore, ha detto, è quanto sia facile il firewall era da escludere.
Ha dato un esempio di una parte del codice che ha usato. Ha detto che mentre il firewall potrebbe bloccare un comando comune utilizzato in SQL injections, come “UNIONE SELEZIONARE,” una versione modificata, versione codificata dello stesso comando, ad esempio “UNIONE SELE%63T” (dove %63 è un codificato “C”) — non è stata bloccata dal filtro.
Per parte sua, GoDaddy ha detto che patchato il bug di pochi giorni, il ricercatore di sicurezza privata divulgazione per l’azienda.
“Nell’esaminare questa situazione appare qualcuno è riuscito a trovare un sito web vulnerabile e manipolare le loro richieste di ignorare temporaneamente il nostro WAF,” ha detto Daniel Cid, GoDaddy, di cui è vice-presidente di ingegneria.
“In meno di un giorno, i nostri sistemi sono stati in grado di raccogliere questo tentativo e porre fine ad esso,” ha detto.
Cid ha detto che la società “non è a conoscenza di altri clienti” è influenzato dal bypass, ma non direi che come molti siti web sono a rischio di bypass tecnica.
Lesley Carhart, digital forensics e la risposta agli incidenti specialista, ha spiegato che la web application firewall simulare il comportamento di prodotti antivirus piuttosto che un firewall tradizionale.
“In un sacco di modi attacchi web sono il modo più difficile per il firewall di traffico dentro e fuori di una rete”, ha detto Carhart. “Non si può negare a quasi tutto un firewall di rete o host firewall.”
“Il traffico Web di filtraggio si basa più sulla lista nera’ di cose cattive, l’uso delle firme di whitelisting spostamento in base di porte e protocolli come i firewall tradizionali”, ha aggiunto.
Web application firewall bloccare gli attacchi su siti web in esecuzione le applicazioni che sono già vulnerabili agli attacchi, come out-of-date sistemi di gestione dei contenuti come WordPress o Joomla, ha spiegato.
“In linea di principio, è un’ottima mossa per aggiungere un ulteriore livello di difesa per i siti, ma non deve mai essere confusa o implicita per essere un sostituto per la sicurezza del codice,” ha detto.
In contatto con me in modo sicuro
Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Leggi Di Più
ZDNET INDAGINI
Trapelate TSA documenti rivelano aeroporto di New York ondata di falle di sicurezza
Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente
Al confine con gli stati UNITI: Discriminati, arrestato, perquisito, interrogato
Milioni di cliente di Verizon record esposti nell’intervallo di sicurezza
Soddisfare le oscure tech broker che forniscono i dati alla NSA
All’interno del terrore globale incagli che segretamente ombre milioni
FCC presidente votato per vendere la vostra cronologia di navigazione — così abbiamo chiesto di vedere la sua
Con un unico wiretap ordine, autorità ascoltato in su 3,3 milioni di telefonate
198 milioni di Americani colpiti da ‘più grande mai’ elettore record di perdita di
La gran bretagna ha superato le più estreme di sorveglianza legge mai passato in una democrazia’
Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S — in questo modo abbiamo cercato per elaborarlo
Trapelato un documento rivela regno UNITO piani per una più ampia sorveglianza
0