На компьютерном фестивале CC9 компании «1С-Битрикс» и Positive Technologies организовали конкурс, участникам которого было предложено обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF) и воспользоваться заранее подготовленными уязвимостями разных типов.

Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.

С задачей конкурса – проэксплуатировать заранее подготовленные на сайте уязвимости (SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including) пытались справиться более 600 специалистов. В течение двух суток работы фестиваля было зарегистрировано и отражено более 25000 атак. В конкурсе участвовали не только присутствующие на фестивале CC9, но и все желающие, которые работали с сайтом через Интернет.

Результаты конкурса оценивала группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

Марсель Низамутдинов, специалист по информационной безопасности «1С-Битрикс», отметил: «В течение всего конкурса мы наблюдали со стороны, как активно участники пытались обойти «Проактивную защиту», постепенно увеличивая сложность вариантов. Единственный и уникальный вариант обхода был найден высоко квалифицированным специалистом, сумевшим использовать недостатки Internet Explorer. Предложенный им вариант обходил не только наш WAF, но и все известные нам фильтры других профессиональных разработчиков. Точнее, наш уже не обходит. Я очень доволен результатами конкурса. Мы смогли проверить систему «Проактивной защиты» в очень сложных условиях. По результатам конкурса мы усовершенствовали алгоритмы продукта и обеспечили больший уровень защищенности для наших клиентов. Мы будем продолжать исследование вопросов информационной безопасности и совершенствовать систему защиты продукта».

Дмитрий Евтеев, эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies, также отметил высокую техническую грамотность участников конкурса: «На СС присутствовал один из разработчиков сканера безопасности web-приложений w3af, который вместе с другими участниками пытался провести атаку. Многие из участников конкурса по обходу фильтра WAF работали почти непрерывно! На конкурсе проведено отличное стресс-тестирование как проактивной защиты с WAF, так и всей платформы «1С-Битрикс». Результаты конкурса являются ожидаемыми и совпадают с результатами, полученными в ходе сертификации модуля проактивной защиты. Мы предполагали, что участники смогут продемонстрировать эксплуатацию уязвимости Cross-Site Scripting, поскольку полное блокирование этого типа атак приводит к большому количеству ложных срабатываний. Критические уязвимости использовать никому не удалось».

Победителями конкурса стали:

Владимир Воронцов (ник d0znp), эксперт в области информационной безопасности. Владимир первым нашел наиболее сложный и интересный вариант обхода фильтра «Проактивной защиты», который работает исключительно в Internet Explorer и использует его недостатки. Приз за первое место – коммуникатор.

Второе и третье место заняли участники с никами insa (обнаружил небольшую опечатку в коде фильтра «Проактивной защиты») и ParanoidChaos (за проявленный энтузиазм и настойчивость). Призы за второе и третье место – лицензии на продукт «1С-Битрикс: Управление сайтом».

В рамках фестиваля Дмитрий Евтеев провел семинар по методам обхода Web Application Firewall.

Первоисточник: http://www.ptsecurity.ru/news_page.asp?id=66