Çığır açan bir güvenlik araştırması, JavaScript enjeksiyonu ile birlikte parametre kirliliği tekniklerinin, modern web uygulaması güvenlik duvarlarının (WAF)% 70’ini atlayabileceğini ve mevcut web güvenlik savunmalarının etkinliği konusunda ciddi endişeler yaratabileceğini ortaya koydu.
Otonom penetrasyon testi yapan güvenlik araştırmacıları, web uygulamalarının ve güvenlik sistemlerinin HTTP parametrelerini nasıl ayrıştırdığı konusundaki temel farklılıklardan yararlanarak WAF korumalarını atlatmak için sofistike bir yöntem keşfettiler.
Güvenlik açığı başlangıçta oldukça kısıtlayıcı bir WAF konfigürasyonu ile korunan bir ASP.NET uygulamasında tanımlanmıştır.
Saldırı tekniği, farklı web teknolojilerinde yinelenen HTTP parametrelerinin tutarsız işlenmesini kullanan bir yöntem olan HTTP parametre kirliliğinden yararlanır.
Bir istekte aynı ada sahip birden fazla parametre mevcut olduğunda, çeşitli çerçeveler bunları farklı şekilde işlerken – bazı değerleri birleştirir, diğerleri sadece ilk veya son oluşumu alır.
Saldırı nasıl çalışır
Araştırmacılar, ASP.NET’in yinelenen parametreleri virgülle birleştirme konusundaki özel davranışının JavaScript enjeksiyonu için tehlikeli bir fırsat yarattığını buldular.
/? Q = 1 ‘& q = uyarı (1) & q =’ 2 gibi bir sorgu dizesi işlerken, ASP.NET bu değerleri bir dize bağlamına eklendiğinde geçerli JavaScript kodu haline gelen 1 ′, uyarı (1), ‘2’de birleştirir.
Bu teknik, görünüşte zararsız parametre kombinasyonlarını geleneksel WAF algılama yöntemlerini atlayan yürütülebilir kötü amaçlı kodlara dönüştürür.
JavaScript’in virgül operatörü, birden fazla ifadenin sırayla yürütülmesine izin vererek ortaya çıkan kodu hem sözdizimsel olarak geçerli hem de işlevsel olarak tehlikeli hale getirir.
Araştırma ekibi, AWS WAF, Google Cloud Armor, Azure WAF, Cloudflare ve diğerleri dahil olmak üzere büyük bulut sağlayıcılarından ve güvenlik satıcılarından 17 farklı WAF yapılandırmasını test etti. Sonuçlar endişe vericiydi:
- Basit enjeksiyon yükleri% 17,6 bypass oranı elde etti
- Karmaşık parametre kirliliği yükleri, test edilen konfigürasyonların% 70,6’sını atladı
- Yalnızca 5 WAF yapılandırması tüm test yüklerini başarıyla engelledi: Google Cloud Armor, Azure WAF ve üç açık uygulamalı yapılandırma
- Üç AWS WAF kural seti, test edilen her yük tarafından tamamen atlandı
Çalışma, makine öğrenimi tabanlı WAF’lerin imza tabanlı sistemleri önemli ölçüde daha iyi performans gösterdiğini ortaya koydu.
Desen eşleşmesine güvenen geleneksel WAF’ler, çerçeveye özgü ayrıştırma davranışlarından yararlanan saldırıları tespit etmek için mücadele ederken, ML destekli çözümler üstün savunma yetenekleri gösterdi.
Bununla birlikte, gelişmiş sistemler bile güvenlik açıkları göstermiştir. Araştırmacıların özerk “hackbot”, Azure WAF’ı yenen şaşırtıcı derecede basit bir yük de dahil olmak üzere ek bypass keşfetti: Test \\; uyarısı (1); //.
Bu bulgular, web uygulaması güvenlik stratejilerindeki kritik bir boşluğu vurgulamaktadır.
Pahalı WAF teknolojilerine yatırım yapan kuruluşlar, güvenlik sistemleri ve web uygulamaları arasındaki temel uygulama farklılıklarından yararlanan saldırılara karşı savunmasız kalabilir.
Araştırma, WAF’lerin güvensiz kod için tam bir çözüm olarak düşünülmemesi gerektiğini ve kapsamlı güvenlik stratejilerinin güvenlik açıklarını birden çok katmanda ele alması gerektiğini vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!