Отправляет email-рассылки с помощью сервиса Sendsay

Пресс-релизы. Иные события

  Все выпуски  

Пресс-релизы. Иные события Проактивная защита сайта выдержала натиск хакеров




Заголовок: Проактивная защита сайта выдержала натиск хакеров

Компания: ООО "1С-Битрикс"

На фестивале CC9 компании "1С-Битрикс" и Positive Technologies организовали конкурс, участникам которого было предложено обойти систему "Проактивной защиты" сайта и воспользоваться заранее подготовленными уязвимостями разных типов. Подобный тест предполагает ситуацию наличия ошибок, допущенных веб-разработчиками при создании сайта, и проверяет их успешное экранирование системой "Проактивной защиты".


С задачей конкурса - обойти фильтр "Проактивной защиты" (Web Application Firewall) и проэксплуатировать заранее подготовленные на сайте уязвимости (SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including) - пытались справиться более 600 специалистов. В течение двух суток работы фестиваля было зарегистрировано и отражено более 25000 атак. В конкурсе участвовали не только присутствующие на фестивале CC9, но и все желающие, которые работали с сайтом через Интернет.

Результаты конкурса оценивала группа экспертов по веб-безопасности компаний Positive Technologies и "1С-Битрикс".

Марсель Низамутдинов, специалист по информационной безопасности "1С-Битрикс", отметил: "В течение всего конкурса мы наблюдали со стороны, как активно участники пытались обойти "Проактивную защиту", постепенно увеличивая сложность вариантов. Единственный и уникальный вариант обхода был найден высоко квалифицированным специалистом, сумевшим использовать недостатки Internet Explorer. Предложенный им вариант обходил не только наш WAF, но и все известные нам фильтры других профессиональных разработчиков. Точнее,
наш уже не обходит :) Я очень доволен результатами конкурса. Мы смогли проверить систему "Проактивной защиты" в очень сложных условиях. По результатам конкурса мы усовершенствовали алгоритмы продукта и обеспечили больший уровень защищенности для наших клиентов. Мы будем продолжать исследование вопросов информационной безопасности и совершенствовать систему защиты продукта".

Дмитрий Евтеев, эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies, также отметил высокую техническую грамотность участников конкурса: "На СС присутствовал один из разработчиков сканера безопасности web-приложений w3af, который вместе с другими участниками пытался провести атаку. Многие из участников конкурса по обходу фильтра WAF работали почти непрерывно! На конкурсе проведено отличное стресс-тестирование как проактивной защиты с WAF, так и всей платформы "1С-Битрикс".
Результаты конкурса являются ожидаемыми и совпадают с результатами, полученными в ходе сертификации модуля проактивной защиты. Мы предполагали, что участники смогут продемонстрировать эксплуатацию уязвимости Cross-Site Scripting, поскольку полное блокирование этого типа атак приводит к большому количеству ложных срабатываний. Критические уязвимости использовать никому не удалось".

Победителями конкурса стали:

Владимир Воронцов (ник d0znp), эксперт в области информационной безопасности, первым нашел наиболее сложный и интересный вариант обхода фильтра "Проактивной защиты", который работает исключительно в Internet Explorer и использует его недостатки. Приз за первое место - коммуникатор HTC.

Владимир профессионально занимается анализом защищенности Web-приложений, автор множества статей в различных тематических журналах по информационной безопасности, поддерживает проект onsec.ru. Победитель так прокомментировал конкурс: "Приятно, что разработчики уделяют такое внимание вопросу безопасности своих продуктов и оперативно устраняют риски. Хотелось бы пожелать другим разработчикам веб-приложений держаться такого же курса в отношениях с исследователями информационной безопасности".

Второе и третье место заняли участники с никами insa (обнаружил небольшую опечатку в коде фильтра "Проактивной защиты") и ParanoidChaos (за проявленный энтузиазм и настойчивость). Призы за второе и третье место - лицензии на продукт "1С-Битрикс: Управление сайтом" (редакция "Стандарт").

Все выявленные в ходе конкурса возможности обхода "Проактивной защиты" учтены, и в фильтр Web Application Firewall внесены соответствующие изменения. Система "Проактивной защиты" доработана, закрыты все выявленные варианты обхода. Обновления уже доступны клиентам и их можно бесплатно скачать по технологии SiteUpdate.

Контактная информация:
------------------------------
Сайт компании: http://www.1c-bitrix.ru
Адрес организации: Москва, ул. Селезневская 34, офис 3575
Контактное лицо: Анна Калабина
p
E-mail: kalabina@1c-bitrix.ru
Телефон: +7 495 775-26-18

В избранное