Проактивная защита сайта выдержала натиск хакеров

На фестивале хакеров CC9 компании «1С-Битрикс» и Positive Technologies специально организовали конкурс, участникам которого было необходимо суметь обойти систему «Проактивной защиты» сайта и воспользоваться заранее подготовленными уязвимостями разных типов. Подобный тест предполагает ситуацию наличия ошибок, допущенных веб-разработчиками при создании сайта, и проверяет успешное экранирование их системой «Проактивной защиты».

Задача участников конкурса – суметь обойти фильтр «Проактивной защиты» (Web Application Firewall) и проэксплуатировать заранее подготовленные на сайте уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including.

В течение двух суток зарегистрировано и отражено более 25000 атак. В конкурсе участвовали не только хакеры, которые присутствовали на фестивале CC9, но и все желающие, которые работали с сайтом через Интернет. Всего в конкурсе участвовало около 600 человек.

Марсель Низамутдинов, специалист по информационной безопасности «1С-Битрикс», отметил: «В течение всего конкурса мы наблюдали со стороны, как активно участники пытались обойти «Проактивную защиту», постепенно увеличивая сложность вариантов. Единственный и уникальный вариант обхода был найден высоко квалифицированным специалистом, сумевшим использовать недостатки Internet Explorer. Предложенный им вариант обходил не только наш WAF, но и все известные нам фильтры других профессиональных разработчиков. Точнее, наш уже не обходит:) Я очень доволен результатами конкурса. Мы смогли проверить систему «Проактивной защиты» в очень сложных условиях. По результатам конкурса мы усовершенствовали алгоритмы продукта и обеспечили больший уровень защищенности для наших клиентов. Мы будем продолжать исследование вопросов информационной безопасности и совершенствовать систему защиты продукта».

Результаты конкурса оценивала группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

I место занял Владимир Воронцов (псевдоним d0znp). Он первым нашел наиболее сложный и интересный вариант обхода фильтра «Проактивной защиты», который работает исключительно в Internet Explorer и использует его недостатки. Приз за первое место – коммуникатор HTC T4242 Cruise Touch II.

Владимир Воронцов – эксперт в области информационной безопасности, профессионально занимается анализом защищенности Web-приложений, автор множества статей в различных тематических журналах по информационной безопасности, поддерживает проект onsec.ru. Победитель так прокомментировал конкурс: «Приятно, что разработчики уделяют такое внимание вопросу безопасности своих продуктов и оперативно устраняют риски. Хотелось бы пожелать другим разработчикам веб-приложений держаться такого же курса в отношениях с исследователями информационной безопасности».

II место занял участник с псевдонимом insa, обнаруживший небольшую опечатку в коде фильтра «Проактивной защиты». III место за проявленный энтузиазм в конкурсе занял участник ParanoidChaos. Призы за второе и третье место – лицензии на продукт «1С-Битрикс: Управление сайтом» (редакция «Стандарт»).

Все выявленные в ходе конкурса возможности обхода «Проактивной защиты» учтены и в фильтр Web Application Firewall внесены соответствующие изменения. Система «Проактивной защиты» доработана, закрыты все выявленные варианты обхода. Обновления уже доступны клиентам и их можно бесплатно скачать по технологии SiteUpdate.

Дмитрий Евтеев, эксперт по информационной безопасности  отдела консалтинга и аудита компании Positive Technologies, отметил высокую техническую грамотность участников конкурса: «На СС присутствовал один из разработчиков сканера безопасности web-приложений w3af, который вместе с другими участниками пытался провести атаку. Многие из участников конкурса по обходу фильтра WAF работали почти непрерывно! На конкурсе проведено отличное стресс-тестирование как проактивной защиты с WAF, так и всей платформы «1С-Битрикс». Результаты конкурса являются ожидаемыми и совпадают с полученными в ходе сертификации модуля проактивной защиты. Мы предполагали, что участники смогут продемонстрировать эксплуатацию уязвимости Cross-Site Scripting, поскольку полное блокирование этого типа атак приводит к большому количеству ложных срабатываний. Критические уязвимости использовать никому не удалось».