Какво е общото между хакерската атака и обикновената запетайка? Тайната на атаката, която поставя сигурността в облака на колене
Инвестиции за милиарди долари се оказаха безсилни против елементарна JavaScript офанзива...
Емил Василев преди 33 секунди 0 СподелиНай-четени
ПрепоръчаноЕмил Василев - 20:58 | 04.08.2025Най-добрите смарт телефони със силициево-въглеродни акумулатори, които публично се продават в Европа
IT НовиниЕмил Василев - 16:23 | 04.08.2025Роуминг + DNS = скрита задна малка врата в телекомуникационните мрежи
АвтомобилиСветлин Желев - 22:43 | 03.08.2025Край на кормилната щанга: новата епоха на steer-by-wire стартира в този момент
Емил Василевhttps://www.kaldata.com/Ново автоматизирано проучване на ETHIACK разкри, че актуалните отбрани на уеб приложенията – в това число необятно употребяваната защитна стена за уеб приложения (WAF) са уязвими към нов вид офанзива, която съчетава инжектиране на JavaScript с техники за замърсяване на HTTP параметрите. Тестовете, обхващащи артикули на главните снабдители на облачни платформи и осведомителни системи, демонстрират, че повече от 70% от WAF конфигурациите могат да бъдат заобиколени със особено основани поръчки.
Ключът към офанзивата се крие в разликите в логиката на обработка на дублиращи се параметри в HTTP поръчките сред приложенията и системите за отбрана.
По-специално, уязвимостта е видяна за първи път в ASP.NET приложение, предпазено от строго конфигуриран WAF. Особеност на ASP.NET е, че в случай че има няколко параметъра с едно и също име, техните стойности се сплотяват благодарение на запетаи. Това държание става сериозно, в случай че такива параметри се употребяват в подтекста на JavaScript – даже почтено изглеждащ набор от стойности може да се трансформира в осъществим код.
Като образец, ето една поръчка с /?q=1’&q=alert(1)&q=’2. След обединяването сървърът генерира низа 1′,alert(1),’2, който, бидейки вграден в низ на JavaScript става синтактично верен и води до осъществяване на инвестиции код. Виновник за това е операторът запетая в JavaScript, който разрешава поредното осъществяване на няколко израза. Това отваря пътя за инжектиране на злонамерени скриптове, заобикаляйки сигнатурните филтри на множеството WAF.
Използваната техника (HTTP Parameter Pollution) към този момент е известна, само че комбинацията ѝ с инжектиране на JavaScript я направи още по-ефективна.
Експертите тестваха 17 разнообразни WAF конфигурации от AWS, Гугъл Cloud, Microsoft Azure, Cloudflare и други. Простите натоварвания заобикаляха към 17% от системите, само че комплицираните, които употребяват замърсяване на параметрите, бяха сполучливи в 70% от случаите.
Само 5 конфигурации съумяха да отхвърлен всички тестови офанзиви – един от наборите от правила на Azure WAF, Гугъл Cloud Armor и 3 open-appsec конфигурации. Трите тествани набора от правила на AWS WAF бяха изключително уязвими – те се провалиха на всички проби, като пропуснаха всяко от натоварените работни натоварвания. Общата наклонност разкри доста предимство на системите, основани на машинно образование, над обичайните решения, основани на сигнатури: поведенческите модели се оказаха доста по-чувствителни към фини изкривени структури.
Въпреки това измежду усъвършенстваните решения също бяха открити недостатъци. Автономният хакбот на откривателите разпознава друга уязвима настройка в Azure WAF, която беше заобиколена с примитивна поръчка test\’;alert(1);// query. Това акцентира, че даже облачните решения, позиционирани като флагмани в региона на сигурността, остават податливи на обикновени техники за заобикаляне.
Авторите акцентират, че WAF не може да служи като самостоятелна отбрана, в случай че в приложението има нерешителен код. Самото битие на сходна накърнимост демонстрира фундаментален пропуск в логиката на обработка на входящите данни сред системите за сигурност и уеб средата. Без преразглеждане на архитектурните решения и надеждно пречистване от страна на приложението скъпите WAF решения не могат да подсигуряват надеждна отбрана против офанзиви, основани на трикове за обработка на данни.
