Меня многие спрашивали - зачем нам это нужно? На что я могу только ответить, что цель всей системы защиты и всего конкурса - сделать наш продукт лучше, дать больше уверенности клиентам и разработчикам. А сделать это можно только на практике.
Почему-то на ум приходит аналогия с автомобилями. В первых автомобилях вообще не думали о безопасности водителя и пассажиров. Потом появились пассивные системы безопасности, т.е. которые защищали людей уже в момент аварии. Это например подушки безопасности в машине. И уже как следующий шаг - появились системы активной защиты - ABS, системы курсовой устойчивости ESP, EBD и т.п. Эти системы уже помогают водителю избежать аварии, подруливают за него, выводят из заноса, спасают жизнь....
Получается, что мы системой "Проактивной защиты" помогаем избегать проблемных ситуаций даже в тех случаях, когда ситуация не находилась под контролем. Но как и в автомобилях, проверить надежность систем можно только устраивая
И такая возможность подвернулась. В последние выходные в Санкт-Петербурге проходил фестиваль хакеров (именно так это называется)
Chaos Construction 2009.
Вместе с компанией , нашими давними партнерами, мы организовали конкурс, участникам которого было необходимо суметь обойти систему "Проактивной защиты" сайта и воспользоваться заранее подготовленными уязвимостями разных типов.
Т.е. мы сознательно создали сайт с четырьмя страницами на каждой из которых создали уязвимости разных типов: SQL-Injection, Cross-Site Scripting (XSS), Path Traversal и Local File Including.
После этого мы включили нашу систему "Проактивной защиты" (Web Application Firewall), которая входит в продукт начиная с версии 8.0 и, если так можно сказать, экранировали страницы с ошибками.
Подобный тест повторяет ситуацию наличия ошибок, допущенных веб-разработчиками при создании сайта, и проверяет успешное экранирование их системой защиты.
Мы все очень хотели знать результат теста и понимать, удастся ли кому-то найти пути обхода и на сколько это будет сложно.
Фото:
