Presentan herramienta con 150 técnicas para eludir firewall de aplicaciones web

Black Hat 2012. Ivan Ristic, director de ingeniería de la firma Qualys -autor del popular ModSecurity- ha presentado en el evento de Las Vegas, una herramienta con 150 técnicas capaces de eludir a nivel de protocolo los cortafuegos de aplicaciones web.

La herramienta está destinada a probar vulnerabilidades sobre Web Application Firewalls (WAFs) diseñados para proteger a las aplicaciones web de ataques conocidos (como inyección SQL) al interceptar peticiones enviadas y aplicar normas estrictas de formateo y carga últil.

Aún así, existen varios métodos para violar estas reglas mediante ‘técnicas de evasión a nivel de protocolo’, algo que ha probado Ristic con éxito, contra el propio ModSecurity y contra otros desarrollos comerciales.

Con esta herramienta, Ristic espera poner en marcha un debate en la industria sobre el nivel de protocolo y otros tipos de evasión. «Si los vendedores y los investigadores de seguridad no documentan los problemas y los dan a conocer, los desarrolladores de WAF cometerán los mismos errores una y otra vez», explica Ristic.