beplay体育能用吗Web应用程序防火墙规避发现和解决的漏洞
更新Synacktiv的安全研究人员发现了一系列漏洞在NAXSI Web应用程beplay体育能用吗序(WAF)进行源代码审查后开源技术。
NAXSI背后的供应商NBS系统已经修补了法国安全咨询公司发现的各种过滤缺陷,允许SynackTiv在一个人中披露其主要发现技术博客文章。
建议用户将其安装更新为版本1.1AWAF技术。
SynackTiv告诉SynackTiv团队确定的问题是安全工具的HTTP请求解析。每日swbeplay2018官网ig。
Synacktiv首席主管Renaud Feil说:“细微的解析错误会欺骗WAF,以跳过一部分请求的分析。”
“例如,恶意请求可能包括零字节或不正确的边界,从而逃避了WAF的保护,并允许攻击者将其恶意有效载荷注入Web应用程序。”beplay体育能用吗
NAXSI是NGINX Web服务器的免费开源Web应用程序防火beplay体育能用吗墙。WAF提供了防止跨站脚本((XSS) 和SQL注入攻击以及其他网络安全威胁。beplay体育能用吗
开源WAF的源代码评论为其他开发人员提供了学习点。
Synacktiv’s Feil explained: “The lessons from this source code review are case studies for people involved in the parsing of HTTP requests, mostly WAF developers, but also web server developers or any systems that need to parse the raw content of an HTTP request properly.”
代码审查
NBS System是该公司出版NAXSI的公司,几年前选择将NAXSI作为免费的开源软件发布。
NBS系统安全和专业知识负责人Regis Saint-Paul解释说,尽管它在内部审查了它自己的代码“认为没有比将此代码显示给尽可能多的人更好的方法”。
圣保罗告诉每日swbeplay2018官网ig。
“尽管如此,当我们考虑从beta转换为1.0版时,我们认为雇用外部团队进行专业审查将有助于发现剩余的错误。我们选择与SynackTiv合作。”
尽管Synacktiv确定的问题“对于回顾安全专家来说可能显而易见,“这些年来,该代码已可用,并且在之前没有发现这些问题,但事实表明实际上并非如此。
Saint-Paul得出结论:“这也表明,外部审计是无价的,可以发现迄今未见问题。”
此故事的更新是为了添加NBS系统Regis Saint-Paul的评论
