六月发现了多年历史的WAF旁路缺陷
严重脆弱性在OWASP MODSECURITY核心规则集(CRS)中存在几年是该项目的维护者的“轰动”,他们概述了提高其安全性的步骤。
MODSEC团队报告说,完整的规则集旁路(CVE-2021-35368)于2021年6月发现。该软件中存在至少四年中的关键错误。
作为先前报道经过每日swbeplay2018官网ig,该漏洞绕过了内置CRS Web应用程序防火墙(WAF)提供的安全保护,这意味着恶意请求身体有效载荷可以在未经检查的情况下走私。beplay体育能用吗
该问题已在2017年代码更改中引入,此后已得到补救。
但是,为了帮助减少另一个高影响力漏洞在网中滑落的可能性,CRS维护者已经实施了新的实践,准则和一个错误赏金计划进一步确保技术。
增长的机会
讲话每日swbeplay2018官网ig,Owasp CRS共同领导的克里斯蒂安·弗利尼(Christian Folini)说,这一事件对他来说是“耳朵里最大的刘海之一”。
他解释说:“这显然是我的个人错。在我们的新团队在2016年接管了休眠项目之后,我立即介绍了这两个错误。修复程序很容易,但我觉得自己躲在岩石下。”
这上周在瑞士相识的队费利尼说,为制定“改善设置和程序”的计划,他承认这一事件是“尴尬”。
菲利尼说:“我们开始将其视为增长和发展的机会。因此,我们将其作为第一个CRS开发人员静修会的重点主题 - 我们如何防止合并错误?而且,如果我们携带它们,我们如何在规则中检测到它们?”
超越自动测试
Folini说,CRS团队一直在慢慢扩展其DevOps自2016年接管以来,“几年”的实践。
但是,该项目需要“全面应用程序安全根据Folini的说法,超出了自动测试的程序”。
在解决这个问题时,他告诉每日swbeplay2018官网igCRS团队已经实施了一系列更改,这些更改将促进更加主动的安全方法。
“我们在我们的撤退中举办了一个研讨会,并试图提出各种措施,这些措施将在我们的规则集中构成几层防御。最终我们解决了四个更改:
- 规则排除软件包将成为插件
- 我们将禁止从规则集中进行某些构造/指令
- 我们将准备一个正式的清单来审查所有规则,即新规则
- 我们将启动一个错误赏金计划。”
收缩攻击表面
Folini解释说,旁路漏洞被隐藏在规则排除软件包之一中,该软件包与规则集一起分布。
他说:“即使是不活动的排除包也可能削弱整个规则。”
“因此,我们希望将这些软件包转换为插件,从而利用我们将在下一个主要版本中引入的新插件功能。默认情况下不安装插件,因此此措施将减少我们的攻击表面。”
菲利尼告诉每日swbeplay2018官网ig仅仅是因为不良规则使用“非常强大的”构建体来禁用请求车身在某些条件下的访问。
“我们没有意识到的是,攻击者可以通过虐待来满足这些条件path_info请求的一部分Uri。”他继续说道。
“如果我们禁止这一强大的指令,我们会减少未来错误的影响,因此这是一项风险限制措施。”
Folini还说,通过引入正式的清单和一个错误赏金程序,可以在内部和外部进行广泛的审查。
但是,该计划确实包含一个警告:为了能够支付此类赏金,该项目将需要吸引更多的赞助商。
得到教训
尽管由WAF绕过脆弱性,Folini对经验教训将引发急需的变化感到乐观。
他承认:“没有人喜欢在公共场合看起来像个白痴。”“但是重要的是要把公牛带到角。
“外出,撰写详细的咨询,直接通知大型集成商(事先),回答社区的问题并审查自己的政策和程序,如果您想成长和改进,都是至关重要的步骤。
“整个事件也加强了团队内部的联系。我们共同克服了这一点,我们知道即使遇到了深刻的麻烦,我们也可以互相信任,这非常令人放心。
“因此,最终,我认为这是一种积极的经历,我们相信社区赞赏我们如何处理这一严重事件。因此,看来我们在这里做正确的事。”