WAF güvenlik aracının ardından CI/CD desteği geliyor
Black Hat USA katılımcılarının öğrendiğine göre, popüler açık kaynak hackleme aracı GoTestWAF, API güvenlik platformlarını değerlendirmek için türünün ilk yardımcı programı haline geldi.
Nisan 2020’de piyasaya sürülen güvenlik testi aracı, web uygulaması güvenlik duvarlarının (WAF’ler), NGWAF’lerin, RASP’lerin, WAAP’lerin ve şimdi de API güvenlik araçlarının algılama yeteneklerini test etmek için OWASP ve API istismarlarını simüle eder.
REST, GraphQL, gRPC, WebSockets, SOAP, XMLRPC ve eski API’leri destekler.
Black Hat USA 2022’deki en son güvenlik araştırmaları ve Arsenal görüşmeleri hakkında daha fazla bilgi edinin
Wallarm’ın baş güvenlik mühendisi Brandon Shope, dün (11 Ağustos) Arsenal oturumunda katılımcılara verdiği demeçte, OpenAPI tabanlı tarama “saldırı simülasyonu sırasında API spesifikasyonunuzda tam olarak tanımlı olanı tarayabilmeniz için” tanıtıldı.
GoTestWAF GitHub deposu, OpenAPI (eski adıyla Swagger) dosya taramalarının nasıl çalıştığını, hangi OpenAPI özelliklerinin desteklendiğini ve “yapısı basit olan istekler oluşturmak ve bunları başlangıçta belirtilen URL’ye göndermek yerine, GoTestWAF’ın nasıl geçerli istekler oluşturduğunu açıklar. OpenAPI 3.0 formatında uygulamanın API açıklaması”.
Daha fazla saldırı türü geliyor
Bu arada şu anda geliştirilmekte olan diğer yeni özellikler, API ve sunucu modu ile CI/CD ardışık düzenleri için bir arka plan programı ve Java, Python ve .NET serileştirme saldırıları dahil olmak üzere ek saldırı türleri için destek, dedi Shope.
GoTestWAF, HTTP isteklerinin farklı bölümlerine yerleştirilen kodlanmış yükleri kullanarak kötü niyetli istekler üretir. Sonuçlar, güvenlik aracı tarafından engellenen yol geçişi, kabuk yerleştirme, siteler arası komut dosyası çalıştırma (XSS) ve diğer çeşitli saldırı türlerinin sayısını ve yüzdesini gösterir.
İLİŞKİLİ Black Hat USA: Log4j de-obfuscator Ox4Shell, analiz süresini ‘önemli ölçüde’ kısaltıyor
Shope, GoTestWAF tarama sonuçlarını temel olarak ModSec ile karşılaştırıyor ve bunları “okunabilir, güzel biçimlendirilmiş bir PDF” halinde sunuyor. Wallarm CEO’su Ivan Novikov, bunu Shope’un sunumundan önce “gerçekten önemli” bir özellik olarak nitelendirdi.
Yanlış negatifler ve pozitifler için testler, WAF’ların yanlış pozitifler üretme konusundaki kötü şöhreti göz önüne alındığında, Wallarm tarafından çok değerli olarak görülüyor; API güvenlik firması, yanlış negatif oranlarını test etme pahasına kullanıcıları sık sık meşgul ettiğini söylüyor.
Topluluk yükleri
Çoklu ‘iç içe’ kodlama desteği, YAML dosyalarıyla kodsuz kontroller, dockerizasyon ve topluluk yükleri de Las Vegas etkinliğinde vurgulandı.
Novikov, The Daily Swig’e, güvenlik istihbaratı arama motoru Vulners ekibinden araştırmacılar tarafından belgelenen topluluk test vakalarına atıfta bulunarak, aracın çekiciliğinde topluluk desteğinin önemli bir faktör olduğunu söyledi.
Novikov’a göre GoTestWAF zaten “haftada yaklaşık 100 kez kullanılıyor” ve satış ve pazarlama çağrıları sırasında “haftada yaklaşık beş kurumsal şirket” tarafından soruluyor.
Wallarm, geçen ay araç için ücretsiz bir Çevrimiçi WAF test cihazı başlattı.
ÖNERİLEN Black Hat USA: Kasıtlı olarak savunmasız AWS, Azure bulut altyapısı bir kalem testçisinin oyun alanıdır