Обхід фільтрів в ModSecurity
19:32 13.06.2009Виявлена можливість обходу фільтрів в ModSecurity (популярному WAF). Я сам регулярно обхожу WAF на різних веб сайтах (в тому числі й ModSecurity) і окремих advisory з цього приводу не роблю, але даний опис уразливості в ModSecurity доволі цікавий (за рахунок опису HPP атаки), тому вирішив про нього написати.
Уразливі версії: ModSecurity 2.5.9 та попередні версії.
Обхід фільтрів можливий через HTTP Parameter Pollution (HPP) атаку на веб додатки на ASP/ASP.NET.
- ModSecurity <= 2.5.9 (Core Rules <= 2.5-1.6.1) Filter Bypass Vuln (деталі)
Неділя, 12:07 14.06.2009
Алеж це тільки на обхід CoreRules
Неділя, 15:13 14.06.2009
logka
Лише CoreRules та до того ж обхід фільтрів працює лише для веб додатків на ASP/ASP.NET.
Але тим не менш, CoreRules обходяться, і такі атаки як SQL Injection та інші стають можливими на сайтах зі встановленим ModSecurity
.