在OWASP核心规则集中发现的重做缺陷
ModSecurity的OWASP核心规则集中的一系列未解决的漏洞已经留下了数千个Web服务器,以否认拒绝服务(DOS)攻击。beplay体育能用吗
ModSecurity是一种流行的开源Web应用程序防火墙(WAF),旨在beplay体育能用吗通过实时监视所有HTTP流量来帮助停止攻击或不需要的应用程序。
该工具通过实施WAF规则来工作。安全专业人员可以创建自己的自定义规则或部署现有库,例如免费安装OWASP核心规则集。
正是这个开源图书馆引起了来自印度20岁的研究人员Somdev Sangwan的注意,他最近在规则集中披露了五个漏洞,每个漏洞都有可能离线将网络服务器脱机。beplay体育能用吗
根据Sangwan的说法,这些漏洞都与核心规则集的实现正则表达式(REGEX) - 允许开发人员定义搜索模式的文本字符串有关。
将拒绝服务的正则漏洞利用称为重做攻击。
“我最近花了很多时间编写重做漏洞并学习WAF,” Sangwan在A中解释说博客文章本周早些时候出版。
“在现实世界中练习我的技能,我选择了ModSecurity Core规则集,因为它具有大量的正则表达式,最重要的是,WAF在野外使用了这些正则表达式来检测攻击。”
研究人员的直觉得到了回报,因为他发现专门制作的琴弦可能会淹没核心规则集的正则发动机,从而导致网络服务器停止。beplay体育能用吗
第一道防线
ModSecurity的OWASP核心规则设置被固定为针对通用Web攻击的“第一道防线”,包括beplay体育能用吗SQL注入,,,,跨站脚本和本地文件包含。
还可以使用商业规则库,据说可以保护特定漏洞,并提供更少的误报。
尽管尚不清楚运行核心规则集的Apache,Nginx和IIS Web服务器的确切数量,但考虑到项目的免费beplay体育能用吗和开源性质,这可能会符合数千个。
CVE已分配给每个的这五漏洞,但是在撰写时,核心规则集中仍未列出缺陷。
“他们尚未修补[漏洞],” Sangwan告诉每日swbeplay2018官网ig。“我已经建议修复,但是仍然有讨论正在进行,希望找到一种强大的解决方案来防止这种攻击。”
研究人员补充说:“应该指出的是,我尚未发布完整的利用字符串,因为漏洞仍然存在并且可以滥用。
“我的博客中提到的利用仅是针对正则表达式的脆弱部分,不会对Modsecurity的实施产生任何影响。”
Sangwan补充说:“一旦对规则集进行了建议的更改,然后用户更新其规则集后,ModSecurity用户将完全安全地对待这些利用。”
一个固有的问题
在讨论漏洞时,来自核心规则集项目的基督教Folini说,通过正则表达模式匹配的Web应用程序攻击的保护是“资源强度”,并且正在进行缓解对重做利用的缓解。beplay体育能用吗
“ DOS是技术的固有问题,” Folini告诉每日swbeplay2018官网ig。“但是编写规则的人可以通过编写避免重做问题的高级规则来减少问题。
“但是,当您认为我们的某些规则是宽几千个字符和10到15岁的年龄时,事情变得很毛。因此,当新的领导层接管该项目时,我们首先不得不了解这些正则实际上所做的事情。”
Folini补充说:“解决重做问题是一个持续的项目。我们欢迎Somdev Sangwan不仅发表了这些弱点,而且他正在与我们积极合作以解决问题的事实。”
将缺陷置于视角
某些核心规则集用户最初可能会以坐在其Web服务器上的未解决的拒绝服务漏洞的想法。beplay体育能用吗
但是,与跨站点脚本或SQL注入更加严重的威胁相比,通过服务器造成的潜在损害可能造成的损害 - 利用开源项目继续有助于防御。
最终,随着核心规则集开发团队继续致力于减轻重做漏洞的缓解,很可能会敦促用户敦促用户不要用沐浴水扔掉婴儿,直到补丁可用为止。
