WAF sau Web Application Firewall-ul este un sistem care intelege foarte bine HTTP, stie sa analizeze conversatia HTTP, sa o decodifice in cazul in care e codata si sa protejeze aplicatiile de web in cazul in care descopera posibile atacuri.  Toata comunitatea de IT le instaleaza sperind sa rezolve problemele aplicatiilor de web dar se pare ca ele insele au foarte mari probleme. La conferinta de securita de la Cracovia OWASP, 2 cercetatori,Wendel Henrique, membru SpiderLabs (Trustwave’s advanced security team), si Sandro Gauci, fondator si CSO la EnableSecurit, au descoperit o serie de probleme in diferite WAF-uri si totodata vor sa faca public un tool pentru wafw00f care va ajuta la identificare acestor sisteme. Surpriza este completa pentru ca, cu ajutorul unui alt tool creat de ei wafFUN, au reusit sa pacaleasca sistemul si sa exploateze cu success o aplicatie de web (XSS).

Sfatul lor? Scrieti cod mai bun si mai sigur. :-))

Mai multe puteti citi aici sau urmarii prezentarea care a fost facuta publica aici.

Have Fun

Anunțuri