На фестивале
CC9 компании
«1С-Битрикс» и
Positive Technologies организовали конкурс, участникам которого было предложено обойти систему «Проактивной защиты» сайта и воспользоваться заранее подготовленными уязвимостями разных типов. Подобный тест предполагает ситуацию наличия ошибок, допущенных веб-разработчиками при создании сайта, и проверяет их успешное экранирование системой «Проактивной защиты».
С задачей конкурса – обойти фильтр «Проактивной защиты» (Web Application Firewall) и проэксплуатировать заранее подготовленные на сайте уязвимости (SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including) – пытались справиться более 600 специалистов. В течение двух суток работы фестиваля было зарегистрировано и отражено более 25000 атак. В конкурсе участвовали не только присутствующие на фестивале CC9, но и все желающие, которые работали с сайтом через Интернет.
Результаты конкурса оценивала группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».
Победителями конкурса стали:
Владимир Воронцов (ник d0znp), эксперт в области информационной безопасности, первым нашел наиболее сложный и интересный вариант обхода фильтра «Проактивной защиты», который работает исключительно в Internet Explorer и использует его недостатки. Приз за первое место – коммуникатор HTC.
Владимир профессионально занимается анализом защищенности Web-приложений, автор множества статей в различных тематических журналах по информационной безопасности, поддерживает проект onsec.ru. Победитель так прокомментировал конкурс: «Приятно, что разработчики уделяют такое внимание вопросу безопасности своих продуктов и оперативно устраняют риски. Хотелось бы пожелать другим разработчикам веб-приложений держаться такого же курса в отношениях с исследователями информационной безопасности».
Второе и третье место заняли участники с никами insa (обнаружил небольшую опечатку в коде фильтра «Проактивной защиты») и ParanoidChaos (за проявленный энтузиазм и настойчивость). Призы за второе и третье место – лицензии на продукт
«1С-Битрикс: Управление сайтом» (редакция «Стандарт»).
Все выявленные в ходе конкурса возможности обхода «Проактивной защиты» учтены, и в фильтр Web Application Firewall внесены соответствующие изменения. Система «Проактивной защиты» доработана, закрыты все выявленные варианты обхода. Обновления уже доступны клиентам и их можно бесплатно скачать по технологии SiteUpdate.
Первоисточник:
http://www.softkey.ru/news_detail.php?ID=8732