Geçen haftaki siber güvenlik konferansının önemli noktalarını takip edin
Bilgisayar korsanlığı araçlarının piyasaya sürülmesi ve düşündürücü bir açılış konuşmasının yanı sıra, geçen hafta Black Hat Europe’da düzenlenen brifingler arasında web güvenliği profesyonelleri için pek çok teklif vardı.
Güvenlik açığı araştırmacıları, güvenlik açıklarını bulmadaki başarılarına odaklanan konuşmalarda genellikle korkunç kısımları atlarlar, ancak Trellix’ten bir çift bilgisayar korsanı, yol boyunca yanlış adımlardan ve başarısızlıklardan nasıl ders çıkarılacağına dair bir konuşma yaptı.
Araştırmacılar Douglas McKee ve Philippe Laulheret, Black Hat delegelerine, bariz başarısızlıkların faydalı dersler sunabileceğini ve – biraz cesaret ve ısrarla birleştiğinde – sonunda önemli keşiflerle sonuçlanabileceğini söyledi.
“Daha Zor Başarısız Olun: Kendimize Rağmen Kritik 0-Günleri Bulmak” oturumu, “birden çok platformda kritik sıfır gün hatalarının bulunmasından önce gelen birçok zorlukla birlikte, çalışmayan her şeye derinlemesine bir dalış” yaptı. projeler”.
Araştırmacılar, diğer şeylerin yanı sıra, “daha fazla başarısız olmanın” “sistemleri saldırıya uğramadan önce araştırmak için çok zaman harcanmasını” gerektirdiğini açıkladı.
Sosyal mühendislikte etik
Başka bir konuşmada, Orange Cyberdefence’tan Ragnhild ‘Bridget’ Sageng, sızma testlerinde sosyal mühendisliği kullanmanın etiğini araştırdı.
Bu tür testler, çalışanları kimlik avı saldırılarına karşı bilinçlendirmeye çalışır, ancak iyi düşünülmezse ters etki yapabilir – özellikle de çalışanlar kendilerini kandırılmış veya başarısızlıklar için suçlanmış hissederlerse. Sageng, suçlama oyununu oynamanın üretken bir öğrenme deneyimini geliştirmeye ters düştüğünü savundu.
Ne de olsa, bu tür testlerin sonuçları, güvenlik uzmanlarının bile kimlik avı tuzağına düşebileceğini, dolayısıyla (genellikle ihmal edilen) etkileşim sonrası sürece odaklanmanın artırılması gerektiğini göstermiştir.
WAF ile Wif
Teknolojideki güvenlik açıklarını bulma arenasına geri dönen Claroty’s Team82’den araştırmacı Noam Moshe, bir dizi web uygulaması güvenlik duvarının (WAF’ler) SQL enjeksiyon yüklerine kör hale getirilebileceğini nasıl keşfettiklerini açıkladı.
SQL ekleme inceleme sürecinde JSON sözdizimini desteklememesinden kaynaklanan sorun, önde gelen beş sağlayıcının teknolojisini etkiledi: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 ve Imperva. tarafından daha derinlemesine açıklandığı gibi, Claroty sorunu vurguladıktan sonra beşi de sorunu düzeltti. günlük yudum geçen hafta.
Koli teslimi
Seri kaldırma kusurları, son yıllarda geleneksel uygulamalar için sürekli bir sorun akışı sağladı. Bilgisayar korsanlığı tekniği, Android tabanlı mobil sistemler için de bir sorun olduğunu kanıtladı.
Black Hat Europe’daki bir sunum sırasında Google’dan bir mühendis ekibi, süreçler arası etkileşimi yönetmek ve serileştirmeden kaynaklanan hataları azaltmak için tasarlanmış bir teknoloji olan Android Parcels’in gelişimini özetledi.
Bohem hack hikayesi
Aktif savunma, birkaç yıldır ulus devletler tarafından düzenlenen siber saldırıları engellemek için bir yaklaşım olarak tartışıldı. Böyle bir yaklaşımın pratikte nasıl çalışabileceğine dair ayrıntılar sır olarak gizlendi, ancak Çek Cumhuriyeti devlet hazinesinden iki tehdit istihbarat uzmanı tarafından yapılan bir konuşma, bir dizi saldırıyı engellemek için tehdit istihbaratı ve aktif savunma kombinasyonunun nasıl kullanıldığını gösterdi. Saldırılar Rusya’yı suçladı.
Analistler, yalnızca tehdit modellerini sürekli iyileştirerek ve yaklaşımlarına ince ayar yaparak kritik bilgi altyapısını daha esnek hale getirme konusunda iyileştirmeler yapabildiklerini açıkladılar.
Işık tarafından bağlanmış
Web güvenliği araştırmacılarına ve hata avcılarına, DataBinding’i kötüye kullanarak web tabanlı çerçeveleri hacklemenin nasıl mümkün olabileceğine dair içgörüler sunuldu.
DataBinding, istek parametrelerini bir etki alanı nesnesine bağlamak için kullanılır.
Yaklaşım, Java, JavaScript, Groovy, Python ve Ruby dahil olmak üzere çeşitli programlama çerçeveleri tarafından desteklenir.
Bununla birlikte, veri bağlamadaki uygulama kusurları, Spring, Struts, Grails ve Ruby on Rails dahil olmak üzere platformlarda bir dizi kusur ortaya çıkardı.
Ant Security FG Lab’den Haowen Mu ve Biao He, Black Hat’taki sunumları sırasında diğer kusurların yanı sıra DataBinding mekanizmasının kendisinin güvensizliğinin kötü şöhretli Spring4Shell’i nasıl ortaya çıkardığını açıkladı.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Black Hat Europe 2022: Bilgisayar korsanlığı araçları yıllık güvenlik konferansında sergileniyor