Taggat med: Web Application Firewall

OWASP Topp 10 snart ute i en ny 2017 års utgåva

Nyligen så släpptes förutgåva nummer 1 av den nya OWASP Top 10 listan. Den fristående och oberoende organisationen OWASP vill nu ha in åsikter om denna nya version. OWASP Top 10-listan skulle jag säga är så nära en standard man kan komma, den refereras i mängder olika dokument såsom PCI DSS och diverse upphandlingar.

Senaste ändringen i OWASP Top 10 var år 2013 och det har hänt en del på webbsäkerhetsfronten, så därför är det lägligt att det kommer en ny version inom kort.

Det nya versionen innehåller två nya kategorier som är följande:

  • A7 Insufficient Attack Protection
  • A10 Underprotected APIs

Och de tidigare kategorierna A7 och A4 har lagts in i A4. Tidigare kategorin A10 har tagits bort helt:

Jag tycker att A7 är mycket intressant och sätter fingret på en viktig punkt. För det är så att vi är relativt bra på att validera indata nuförtiden, bl.a. för att det är standard i många webbramverk. Men vi är desto sämre på att patcha, separera våra system och logga. Loggning är exempelvis otroligt viktigt vid incidenthantering och för att försöka lista ut hur ett intrång gick till.

Att använda en WAF (Web Application Firewall) känns också något som är en självklarhet år 2017. För detta finns exempelvis inbyggt i CloudFlare samt ingår i system från många brandväggsleverantörer. Men detta kan även ge en falsk säkerhet eftersom många WAF:ar går att kringgå.

Även den nya kategorin gällande oskyddade API:er är intressant, för detta är något som jag ser när jag exempelvis genomför reverse-engineering och penetrationstestar API:er. Många tror att bara för att ett API används så kan ingen ta reda på hur det fungerar och även ibland bygger in behörighetskontroll etc helt i klienten.

Här kan du läsa mer om tankarna bakom denna nya 2017 års version av OWASP Top 10:

OWASP Top 10 2017

CloudBleed – Allvarligt minnesläckage från CloudFlare

CloudFlare (CF) är numera en vital och central del av internet. CF tillhandahåller CDN (Content Delivery Network), DNS och WAF (Web Application Firewall) för att nämna några funktioner.

För några dagar sedan så kontaktade Tavis Ormandy CF gällande att han sett saker i Googles sökresultat som inte hör hemma där. När sedan CF undersökte så hittade man en parser-bugg som gör att minne från deras servrar kunde skickas ut felaktigt.

Ungefär 0.00003% av samtliga http-förfrågningar som gick genom CF drabbades av denna bugg. Och vid undersökningar i Googles cache så identifierades 700 fall där minne läckt och cachats av Google.

Turligt nog så påverkas inte privata (TLS) SSL-nycklar eftersom viss uppdelning finns mellan processerna i CF:s servrar.

För en mer komplett lista över sajter som ligger hos CF se här:

Uppdatering 1: Nu har CF skickat ut ett mail till samtliga kunder. De skriver bl.a. följande:

”To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.”

Uppdatering 2: Svenska betaltjänst-leverantören Mondido samt Kraken har återställt samtliga lösenord. Jag hoppas att fler följer efter som använder CF.

Uppdatering 3: Cloudbleed kan även ha och göra med att Google själva nollställt samtliga inloggningar mot Googles egna tjänster. Så här kommenterar Tavis:

”Hi Tavis, could you tell us why a lot of people had to re-authenticate their Google accounts on their devices all of the sudden? It may not have been related, but Google definitely did something that had us all re-authenticate.”

”I couldn’t tell you, this is not the correct place to ask.”

Uppdatering 4: Har nu laddat hem .se-zonen och kontrollerat hur många som använder CF:s namnservrar vilket ger en fingervisning om hur många .se-domäner som kan potentiellt läckt information:

$ grep cloudflare se.zone |awk ‘{print $1}’|sort|uniq|wc -l
7827

Det kan även vara åt andra hållet. Dvs CF:s dyrare abonnemang så kan du köra med en egen namnserver men ändå nyttja CF:s tjänster.