[Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Thu Nov 19 14:46:14 EST 2009


E ai Nash ,


2009/11/19 Nash Leon <nashleon at yahoo.com.br>:
> Como vai, Spooker?
>
> Vamos por mais lenha na fogueira?:)
>

Bora, esse tipo de discussão sempre é sadia =)

>> Logicamente tem que ver como esse WAF no qual ninguem sabe
>> o nome
>> estava configurado.
>
> Eu acredito que qualquer firewall que faz uso de pcre está vulnerável..:)
>
> De "http://gambasdoc.org/help/doc/pcre":
>
> "In PCRE, POSIX character set names recognize only ASCII characters. You  can use Q...E inside a character class. "
>

Eu fiz um test básico aqui

Procurando so por elementos caracteres \w+

spooker at notsecure:~$ pcretest
PCRE version 7.8 2008-09-05

  re> /\w+/
data> SELECT
 0: SELECT
data> sElEcT
 0: sElEcT
data> SElecT
 0: SElecT
data> Sêlect
 0: S
data> SELÉCT
 0: SEL
data>

Dai fiz um pra pegar o que não caracter \W+

spooker at notsecure:~$ pcretest
PCRE version 7.8 2008-09-05

  re> /\W+/
data> SELECT
No match
data> SELECT
No match
data> SeLeCt
No match
data> SÊLECT
 0: \xc3\x8a
data> SELÉcT
 0: \xc3\x89

Com sua query do paper

 re> /\W+/g
data> abcd ÚNÍÔN SÉLÊCT dados FRÔM tabela--
 0:  \xc3\x9a
 0: \xc3\x8d\xc3\x94
 0:
 0: \xc3\x89
 0: \xc3\x8a
 0:
 0:
 0: \xc3\x94
 0:
 0: --

data> abcd UNION SELECT dados FROM tabela--
 0:
 0:
 0:
 0:
 0:
 0: --

data> abcd UNION SELECT dados FRÔM tabela--
 0:
 0:
 0:
 0:
 0: \xc3\x94
 0:
 0: --
data>

Trabalhando uma regra pegaria isso, não vi o PCRE como problema. Ou
esqueci de algo ?

Ou seja, PCRE pegaria o assento não concorda ?



> Obviamente que se o profissional de segurança 'souber' o que está
> fazendo, ele vai acrescentar nem que seja manual as letras com
> acentos. Acontece que um estrangeiro não fará isso, em especial
> se ele conhece apenas um idioma sem acentos.
>

Logicamente sempre a grande diferença, treinar os analistas,  pois so
boas ferramentas não resolvem =) . Infelizmente maioria das vezes não
é assim .

> Então se o imperva faz uso de pcre.. I´m sorry, ele não
> vai conseguir proteger as aplicações usando apenas
> listas como [A-Z] e nem POSIX..:(.. Mas eu conheço alguns
> que fazem uso.
>

Não tenho caixa para realizar testes, verei se alguem tem  informaçoes
sobre as configs e certamente testarei  hehehe

> Como voces tem um impersa disponível verifiquem isso.. isso
> daria um belo advisore para alguém que deseja mostrar algum
> trabalho.
>

Se imperva pega e a concorrencia não é um bom marketing hahahah .
Embora não costumo falar das falhas dos outros , produto tem bastante
qualidade hehehe.

>> Quanto a problemas de aplicação o pessoal aproveita muito
>> o legado
>> antigo e fica aquela colcha de retalhos.  Infelizmente
>> WAF dentre
>> outras dezenas de produtos de segurança não fazem
>> milagres
>
> Bom, estamos falando de bancos de dados gigantes que
> removem acentos nas palavras.. Quem desenvolve sabe
> que os acentos são complicados de manusear em sistemas
> de busca.
>
> Acredito que esse esquema de remover os acentos seja mais
> comum do que imaginamos, e pelo menos as maiores lojas
> brasileiras na internet trabalham assim, desconheço
> uma que não trabalhe.. Se nenhum firewall de aplicacao
> web estrangeiro consegue lidar com isso, então
> essas lojas realmente não deveriam usar essa solução.
>

É , ta ai uma boa pesquisa de mercado a se fazer =)

> Um cordial abraço,
>

Abs!

Sp0oKeR!

> Nash Leon.
>
>
> --- Em qui, 19/11/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> escreveu:
>
>> De: Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>> Assunto: Re: [Owasp-brazilian] Firewalls de Aplicação WEB, Idiomas e Expressões Regulares - Condições de Bypass
>> Para: "Wagner Elias" <wagner.elias at gmail.com>
>> Cc: "Nash Leon" <nashleon at yahoo.com.br>, owasp-brazilian at lists.owasp.org
>> Data: Quinta-feira, 19 de Novembro de 2009, 14:47
>> Eu fiquei curioso do Imperva, achei
>> mais isso  que acredito que
>> mataria o problema
>>
>> HTTP Protocol Validation
>>
>>     HTTP protocol validation prevents protocol
>> exploits including
>> buffer overflow, malicious encoding, HTTP
>>     smuggling, and illegal server operations.
>> Imperva provides you
>> with a default policy that enables strict
>>     adherence to RFC standards, while allowing
>> minor variations for
>> specific applications.
>>     Before the validation, SecureSphere
>> normalizes the URL to provide
>> a common basis for validation. This
>>     includes decoding, conversion to UTF8,
>> conversion to lower case
>> (if service is configured as case insensitive),
>>     directory normalization and so on.
>>
>>     The HTTP protocol validation policy enables
>> to protect your system
>> against the evasion techniques, such as
>>     encoding attempts. It is very important to
>> stop the evasion
>> technique on the service level. If the malicious
>>     traffic is not blocked on the service level,
>> then the application
>> level SecureSphere policies are not able to
>>     provide protection, as the protection is
>> evaded.
>>
>>
>> Logicamente tem que ver como esse WAF no qual ninguem sabe
>> o nome
>> estava configurado. Muitas vezes se pegar uma aplicação
>> codada de
>> forma fora de um padrão gera muito alerta e voce pode
>> simplesmente
>> cansado de tanto alerta da um disable =/ . Voces sabem que
>> isso
>> acontece com mta frequencia.
>>
>> Quanto a problemas de aplicação o pessoal aproveita muito
>> o legado
>> antigo e fica aquela colcha de retalhos.  Infelizmente
>> WAF dentre
>> outras dezenas de produtos de segurança não fazem
>> milagres . =D!
>>
>> Abs!
>>
>
>
>
>      ____________________________________________________________________________________
> Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
>



-- 
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.twitter.com/spookerlabs
http://www.linkedin.com/in/spooker


More information about the Owasp-brazilian mailing list