[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Nash Leon nashleon at yahoo.com.br
Thu Nov 19 12:41:33 EST 2009


Como vai, Spooker?

Vamos por mais lenha na fogueira?:)

> Logicamente tem que ver como esse WAF no qual ninguem sabe
> o nome
> estava configurado.

Eu acredito que qualquer firewall que faz uso de pcre está vulnerável..:)

De "http://gambasdoc.org/help/doc/pcre":

"In PCRE, POSIX character set names recognize only ASCII characters. You  can use Q...E inside a character class. "

Obviamente que se o profissional de segurança 'souber' o que está
fazendo, ele vai acrescentar nem que seja manual as letras com
acentos. Acontece que um estrangeiro não fará isso, em especial
se ele conhece apenas um idioma sem acentos.

Então se o imperva faz uso de pcre.. I´m sorry, ele não
vai conseguir proteger as aplicações usando apenas
listas como [A-Z] e nem POSIX..:(.. Mas eu conheço alguns
que fazem uso.

Como voces tem um impersa disponível verifiquem isso.. isso
daria um belo advisore para alguém que deseja mostrar algum
trabalho.

> Quanto a problemas de aplicação o pessoal aproveita muito
> o legado
> antigo e fica aquela colcha de retalhos.  Infelizmente
> WAF dentre
> outras dezenas de produtos de segurança não fazem
> milagres 

Bom, estamos falando de bancos de dados gigantes que
removem acentos nas palavras.. Quem desenvolve sabe
que os acentos são complicados de manusear em sistemas
de busca.

Acredito que esse esquema de remover os acentos seja mais
comum do que imaginamos, e pelo menos as maiores lojas
brasileiras na internet trabalham assim, desconheço
uma que não trabalhe.. Se nenhum firewall de aplicacao
web estrangeiro consegue lidar com isso, então
essas lojas realmente não deveriam usar essa solução.

Um cordial abraço,

Nash Leon.


--- Em qui, 19/11/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> escreveu:

> De: Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
> Assunto: Re: [Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass
> Para: "Wagner Elias" <wagner.elias at gmail.com>
> Cc: "Nash Leon" <nashleon at yahoo.com.br>, owasp-brazilian at lists.owasp.org
> Data: Quinta-feira, 19 de Novembro de 2009, 14:47
> Eu fiquei curioso do Imperva, achei
> mais isso  que acredito que
> mataria o problema
> 
> HTTP Protocol Validation
> 
>     HTTP protocol validation prevents protocol
> exploits including
> buffer overflow, malicious encoding, HTTP
>     smuggling, and illegal server operations.
> Imperva provides you
> with a default policy that enables strict
>     adherence to RFC standards, while allowing
> minor variations for
> specific applications.
>     Before the validation, SecureSphere
> normalizes the URL to provide
> a common basis for validation. This
>     includes decoding, conversion to UTF8,
> conversion to lower case
> (if service is configured as case insensitive),
>     directory normalization and so on.
> 
>     The HTTP protocol validation policy enables
> to protect your system
> against the evasion techniques, such as
>     encoding attempts. It is very important to
> stop the evasion
> technique on the service level. If the malicious
>     traffic is not blocked on the service level,
> then the application
> level SecureSphere policies are not able to
>     provide protection, as the protection is
> evaded.
> 
> 
> Logicamente tem que ver como esse WAF no qual ninguem sabe
> o nome
> estava configurado. Muitas vezes se pegar uma aplicação
> codada de
> forma fora de um padrão gera muito alerta e voce pode
> simplesmente
> cansado de tanto alerta da um disable =/ . Voces sabem que
> isso
> acontece com mta frequencia.
> 
> Quanto a problemas de aplicação o pessoal aproveita muito
> o legado
> antigo e fica aquela colcha de retalhos.  Infelizmente
> WAF dentre
> outras dezenas de produtos de segurança não fazem
> milagres . =D!
> 
> Abs!
> 



      ____________________________________________________________________________________
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


More information about the Owasp-brazilian mailing list