Обход Web Application Firewall на Chaos Constructions 2009

Теги: Positive Technologies, waf, application firewall

12-ый компьютерный фестиваль Chaos Constructions 2009 (CC9) состоится 29 и 30 августа в Санкт-Петербурге, в культурно-выставочном центре «ЕВРАЗИЯ».

12-ый компьютерный фестиваль Chaos Constructions 2009 (CC9) состоится 29 и 30 августа в Санкт-Петербурге, в культурно-выставочном центре «ЕВРАЗИЯ».

Фестиваль проходит с 1995 года, участников традиционно ожидает обширная конкурсная программа, семинары, выставка электронных устройств, в том числе раритетных, демонстрация различных видеоматериалов и многое другое. В рамках фестиваля проходит традиционный конкурс Hack Quest, суть которого в выполнении заданий связанных с информационной безопасностью.

В этом году компании «1С-Битрикс» и Positive Technologies предлагают участникам CC9 и всем желающим, обойти проактивную защиту специально созданного сайта, работающего на «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF) и побороться за призы и подарки. Главный приз в конкурсе – коммуникатор.

Проактивная защита в системе управления веб-проектами «1С-Битрикс: Управление сайтом» – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности. Один из механизмов, WAF - проактивный фильтр, который обеспечивает защиту от большинства известных атак на веб-приложения. Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.

Конкурс будет проходить с 29 по 30 августа 2009 года, победители будут объявлены 30 августа на фестивале СС9. Оценивать результаты будет группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

Подробная информация будет опубликована на сайте фестиваля.


или введите имя

CAPTCHA
Страницы: 1  2  
Zzz
10-08-2009 15:22:23
предлагают участникам CC9 и всем желающим, обойти проактивную защиту специально созданного сайта, работающего на «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)... Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.На этом сайте, что намеренно оставили какие-то уязвимости? Если - нет то зачем тогда проводить тестирование, если Positive Technologies всё проверила? А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?
0 |
10-08-2009 15:30:09
>На этом сайте, что намеренно оставили какие-то уязвимости? Да. На сайте будут уязвимости. Сайт закрыт WAF. >А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies? Ну, ни кто не идеален
0 |
03222
10-08-2009 15:44:50
На этом сайте, что намеренно оставили какие-то уязвимости? Если - нет то зачем тогда проводить тестирование, если Positive Technologies всё проверила? А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?1. сразу видно, что ты с программированием и сферой IT толком не сталкивался 2. зная, как "прямо" работает движок битрикса на этом сайте, очень сомневаюсь, что у 1С получится какой то хороший продукт (достаточно вспомнить, сколько глюков было у бухгалтерии и предприятия, но в итоге лет так за 10 более-менее вылизали эти древние продукты)
0 |
Zzz
10-08-2009 15:53:53
Очень даже сталкивался, я работаю программистом в фирме занимающейся системами безопасности )
0 |
CV
10-08-2009 16:06:24
А в чем смысл дарить коммуникатор за взлом? Вроде бы за взлом Windows дают больше. Или скрытая реклама? Чего? WAF? Чем WAF отличается от mod_security в Apache?
0 |
10-08-2009 16:26:53
mod_security - одина из реализаций WAF (http://www.securitylab.ru/contest/301949.php). У Bitrix - своя реализация, не на уровне Web-сервера, а на уровне приложения: http://www.1c-bitrix.ru/products/cms/security/#proactive
0 |
53756
10-08-2009 19:19:06
Очень даже сталкивался, я работаю программистом в фирме занимающейся системами безопасности )в свете этих обстоятельств очень интересна твоя фраза:А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?Очень даже сталкивался, я работаю программистом в фирме занимающейся системами безопасности )в свете этих обстоятельств очень интересна твоя фраза:А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?ЗЫ - следуя традициям баша и айтихеппенса, предполагаю, что ты - родственник кого то из бухгалтерии или родня начальства, ибо такой бред не может нести человек, даже мельком знакомый с IT ЗЗЗЫ - свое отношение к безопасникам не раз высказывал здесь. ЗЫ - следуя традициям баша и айтихеппенса, предполагаю, что ты - родственник кого то из бухгалтерии или родня начальства, ибо такой бред не может нести человек, даже мельком знакомый с IT ЗЗЗЫ - свое отношение к безопасникам не раз высказывал здесь.
0 |
83518
10-08-2009 19:20:00
Очень даже сталкивался, я работаю программистом в фирме занимающейся системами безопасности )в свете этих обстоятельств очень интересна твоя фраза:А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?Очень даже сталкивался, я работаю программистом в фирме занимающейся системами безопасности )в свете этих обстоятельств очень интересна твоя фраза:А если они всё-же найдутся, тогда что это тогда за специалисты такие из Positive Technologies?ЗЫ - следуя традициям баша и айтихеппенса, предполагаю, что ты - родственник кого то из бухгалтерии или родня начальства, ибо такой бред не может нести человек, даже мельком знакомый с IT ЗЗЗЫ - свое отношение к безопасникам не раз высказывал здесь. ЗЫ - следуя традициям баша и айтихеппенса, предполагаю, что ты - родственник кого то из бухгалтерии или родня начальства, ибо такой бред не может нести человек, даже мельком знакомый с IT ЗЗЗЫ - свое отношение к безопасникам не раз высказывал здесь.
0 |
Знающий PT
21-08-2009 16:39:38
Да они решили перестраховаться и публично проверить дырки которые сами прошляпили =)
0 |
hm
10-08-2009 15:46:20
птсек надеется за стоимость коммуникатора получить методики и техники которые стоят как ящик коммуникаторов? ЗЫ я конечно не думаю что на сайте оставили эксплуатируемые дыры, типа хсс и инжекции.
0 |
10-08-2009 16:23:42
>ЗЫ я конечно не думаю что на сайте оставили эксплуатируемые дыры, типа хсс и инжекции. Будут эксплуатируемые XSS, LFI, SQLi. Вопрос - насколько их смогут проэкплуатировать.
0 |
hm
10-08-2009 16:46:16
Ну, я по правде не знаю на, что рассчитывает птсек. Вот у меня есть способ обхода мод_секурити ( полагаю там будет он самый ). Который я широко использую в корыстных (легальных) целях. И зачем мне приходить и отдавать его за комуникатор? Я могут 10 коммуникаторов купить, грамотно продавая знание этого способа. Разве что совсем дети придут (читать: кто еще не просек, как на этом делать деньги), но сомневаюсь, что эту защиту они смогут обойти. ЗЫ канеш сорри если говорю всем известные истины
0 |
10-08-2009 16:53:02
Основная цель - fun. А методов обхода WAF - множество. Мы как бы о них тоже знаем. http://party.cc.org.ru/seminar.php
0 |
hm
10-08-2009 17:00:35
это понятно. только те которые вы знаете - я так понимаю вас как раз и не интересуют а те которые еще не прикрыли - вот их вряд ли кто то принесет в обмен на коммуникатор. хотя интересно будет глянуть на результаты конкурса, если их конечно разгласят. а так - фан - это гуд я тоже может приду, посмотрю чем народ будет ваф хакать.
0 |
10-08-2009 17:41:47
Вот у меня есть способ обхода мод_секурити на самом деле есть много разных способов полагаю там будет он самыйэто какой? И зачем мне приходить и отдавать его за комуникатор? Я могут 10 коммуникаторов купить, грамотно продавая знание этого способа.Подходы "Я могу" и "Я делаю" различаются. Сколько Вы уже заработали на Вашем способе? Может все таки коммуникатор?
0 |
hm
10-08-2009 17:48:56
то, что много и разных - это понятно, сам в свое время постил адвизори по дури. согласен, что могу != сделаю. только мне 10 коммуникаторов не нужно а коммуникатором - даже не завлекайте а нон-дисклоужр (при грамотном использовании само собой) рулит
0 |
10-08-2009 17:53:07
а коммуникатором - даже не завлекайте а какой подарок за подобный хак Вы считаете достойным?
0 |
hm
10-08-2009 18:04:28
есть вещи которые не продаются ЗЫ в узком кругу их можно и подарить, но продавать - моветон. имх.
0 |
spxnezzar
21-08-2009 16:42:38
Дима, ну ты же знаешь что за Хаки подарки не подгоняют =) Либо за него платят, либо ... "Рука руку моет"
0 |
Vet242
10-08-2009 15:49:18
Сделать удаленный VPN 2... "Смотать и развернуть сеть"... Получить IP или получить доступ к "сайту".. Далее дело техники
0 |
доброжелатель
10-08-2009 17:09:32
да вы охренели? этож аттракцион невиданной щедрости - пентест за коммуникатор!
0 |
Пентестер
10-08-2009 17:20:48
>доброжелатель А сколько доброжелатель (доброжелателю) обычно платит исполнителю (обычно платят начальники) за 2 человеко-дня пентеста? Гораздо больше? Если взять стоимость коммуникатора (ну где-то 15), то получим 7,5 руб в день. Умножаем на 22 рабочих дня - на выходе 165 руб. С удовольствием устроюсь на работу в такую добрую компанию! Особенно, если отчеты писать не надо... Куда слать резюме? > Организаторы ЗЫ. А что будет, если разломаем нафиг ваш WAF в пух и прах? PT и Bitrix сильно обидятся?
0 |
10-08-2009 17:35:04
ЗЫ. А что будет, если разломаем нафиг ваш WAF в пух и прах? получите подарок от Bitrix PT и Bitrix сильно обидятся?Зачем обижаться? наоборот, поблагодарим Вас!
0 |
97924
10-08-2009 19:31:10
А сколько доброжелатель (доброжелателю) обычно платит исполнителю (обычно платят начальники) за 2 человеко-дня пентеста?вы, похоже, не особо знакомы с пентестами (только на уровне скрипт-киддиса). И в плане сроков, и в плане оплаты. По сути, битрикс таким образом хочет почти за бесплатно СЕРЬЕЗНО потестить свою разработку - 10 коммуникаторов*15тр=150 штук. Для Москвы - это зарплата одного программера за пару месяцев в средней конторе. Дело в чем - если бы Битриксу пришлось нанимать нескольких серьезных пентестеров для проверки своего продукта на прочность, то общая стоимость работ явно бы измерялась в сотнях тысяч деревянных (ибо проект масштабрный - нужны солидные специалисты по пентесту)
0 |
Pentester
10-08-2009 20:13:07
>вы, похоже, не особо знакомы с пентестами Конечно, конечно > И в плане сроков, Предлагаю внимательно вчитаться: Конкурс будет проходить с 29 по 30 августа 2009 года Получается как бэ 2 дня и работа индивидуальная, т.е. 7,5 тысяч в день на победившее рыльцо сотнях тысяч деревянных Вопрос только, сколько из этих денег пойдет исполнителю. Вполне себе бизнесовый подход - не нанимать за кучу денег бестолковых сертифицированных специалистов, а кинуть кличь в паблик за вполне себе деньги (пусть и небольшие). Кстати, судя по картинке, какие-то карандашные (pen) тестировщики (testers) над этим WAF уже поплясали...
0 |
51829
11-08-2009 06:35:02
Получается как бэ 2 дня и работа индивидуальная, т.е. 7,5 тысяч в день на победившее рыльцо я же говорю - скрипт-киддис. Кто в теме - тот поймет, почему я тебя так назвал. Вопрос только, сколько из этих денег пойдет исполнителю.да будет тебе известно, что очень много СЕРЬЕЗНЫХ пентестеров работают на самостоятельной основе и эта сумма, что я назвал, уйдет им лично(+- налоги) - а если контора битрикса (начальство) решит нажиться - то они уж сами искусственно завысят стоимость пентеста ЗЫ - согластно статистики, в пентесте работает очень мало высококвалифицированных спецов
0 |
Pentester
11-08-2009 08:12:45
>я же говорю - скрипт-киддис. Конечно, конечно! Ты очень умный! >да будет тебе известно, что очень много СЕРЬЕЗНЫХ пентестеров Пруфлинк? Контакты? Как связаться? Как заказать пентест у СЕРЬЕЗНЫХ пентестеров? >ЗЫ - согластно статистики, Пруфлинк? Какая-такая статистика? То, что в пентесте работает мало спецов объясняется очень просто - рынок пентеста очень маленький
0 |
21526
11-08-2009 09:02:57
Pentester, ну что сказать? Сказать то собственно нечего... вот это и грустно.
0 |
Pentester
11-08-2009 09:25:11
>Сказать то собственно нечего... вот это и грустно. Конечно грустно, когда одно балабольство... СЕРЬЕЗНЫЕ пентестеры с ылитной статистикой и ящиком коммуникаторов... Гы.
0 |
10-08-2009 17:16:41
Никому его взломать не удастся, Битрикс раньше сам ляжет, не выдержав нагрузки в 10 одновременных коннектов
0 |
97397
11-08-2009 06:37:44
Никому его взломать не удастся, Битрикс раньше сам ляжет, не выдержав нагрузки в 10 одновременных коннектов +1 ЗЫ - это не баг такой, эта у них фича!
0 |
Страницы: 1  2