Комментарии 16
интересная штука
а до этого фильтра входные данные от пользователя никак не фильтруются?
а до этого фильтра входные данные от пользователя никак не фильтруются?
приятно, что проактивка как термин теперь не только в антивирусной индустрии :)
Хорошую вы штуку придумали!
Только я не совсем понял принцип действия: WAF просто фильтрует
входящие данные по ключевым «нехорошим» словам? Но ведь вредность сильно зависит от контекста?
Только я не совсем понял принцип действия: WAF просто фильтрует
входящие данные по ключевым «нехорошим» словам? Но ведь вредность сильно зависит от контекста?
Ну там не все так просто с фильтрацией, но если упрощать — то да, мы работаем со всем контентом, который любым способом может попасть на сайт через GET, POST, куки, серверные переменные и т.п.
Общую идею я уже описывал на хабре
habrahabr.ru/company/bitrix/blog/57171/
Общую идею я уже описывал на хабре
habrahabr.ru/company/bitrix/blog/57171/
Действительно интересно получилось, даже null байт не помог)
Хороший рассказ.
Но по существу: расскажите об этой системе. Каков ее принцип?
Но по существу: расскажите об этой системе. Каков ее принцип?
Я как-то описывал принцип системы на Хабре habrahabr.ru/company/bitrix/blog/57171/
представленные xss, совсем не сложные :)
как насчет, чтобы повесить тестовый полигон и продолжить для тех, кто не смог прийти на СС :)
как насчет, чтобы повесить тестовый полигон и продолжить для тех, кто не смог прийти на СС :)
Чтож, Вы тест на habr'е-то не опубликовали? Вот бы сообщество и протестировало WAF. Не думаю что CC можно считать серьезным security-фестивалем, который собирает достаточное количество опытных людей. Вот хабра-сообщество куда, как интересней в плане профессиональности. Или этот пост очередной PR/медийный выхлоп?
Информация была опубликована на SecurityLab.ru
www.securitylab.ru/news/384306.php
Мне кажется, что это более целевая аудитория, для привлечения к конкурсу. Новость была доступна у нас на сайте и в других онлайн источниках. Все желающие могли принять участие в конкурсе через интернет.
www.securitylab.ru/news/384306.php
Мне кажется, что это более целевая аудитория, для привлечения к конкурсу. Новость была доступна у нас на сайте и в других онлайн источниках. Все желающие могли принять участие в конкурсе через интернет.
Сергей, очень приятно за развитие «Битрикса». Наш сайт тоже работает на нем, поэтому — некоторые замечания из собственного опыта:
— защита админпанели по IP: а стоило ли делать интерфейс? На мой взгляд, Битриксом пользуются компании, которые могут себе позволить иметь в штате грамотных IT-шников. А эти люди могут спокойно прописать адреса в htaccess. Мы, например, сделали именно так.
— стоп-лист, к сожалению, неудобен. Особенно это видно при блокировании спама на форуме. Приходится смотреть IP-шник на форуме, запоминать, потом идти в админку, забивать его (а это, между прочим, 4 отдельных поля (!!), в которое надо тыкать мышкой ), и только в результате всех этих манипуляций адрес попадает в блэк-лист. На мой взгляд, удобнее было бы прямо в форуме сделать кнопку «заблокировать этот IP».
— контроль целостности скриптов, кстати, тоже средствами веб-сервера делается. Но на обычном хостинге — да, вряд ли такое будет.
— защита админпанели по IP: а стоило ли делать интерфейс? На мой взгляд, Битриксом пользуются компании, которые могут себе позволить иметь в штате грамотных IT-шников. А эти люди могут спокойно прописать адреса в htaccess. Мы, например, сделали именно так.
— стоп-лист, к сожалению, неудобен. Особенно это видно при блокировании спама на форуме. Приходится смотреть IP-шник на форуме, запоминать, потом идти в админку, забивать его (а это, между прочим, 4 отдельных поля (!!), в которое надо тыкать мышкой ), и только в результате всех этих манипуляций адрес попадает в блэк-лист. На мой взгляд, удобнее было бы прямо в форуме сделать кнопку «заблокировать этот IP».
— контроль целостности скриптов, кстати, тоже средствами веб-сервера делается. Но на обычном хостинге — да, вряд ли такое будет.
— защита админпанели по IP: ну наличие интерфейса — это же не хуже, а лучше, чем без него? :) Ну а по факту пользователям действительно удобнее так работать.
— стоп-лист: ну это неудобно в форуме. Можно сделать кнопку. Но вообще, блокировать по IP пользователей отдельный не лучший путь. Предпочтительнее блокировать пользователей.
— контроль целостности скриптов: не слышал, чтобы такое делал веб-сервер. Средствами дополнительных приложений в операционной системы можно делать, конечно. Но это далеко не всегда возможно.
— стоп-лист: ну это неудобно в форуме. Можно сделать кнопку. Но вообще, блокировать по IP пользователей отдельный не лучший путь. Предпочтительнее блокировать пользователей.
— контроль целостности скриптов: не слышал, чтобы такое делал веб-сервер. Средствами дополнительных приложений в операционной системы можно делать, конечно. Но это далеко не всегда возможно.
и вдогонку: решился ли в новых версиях вопрос к доступом пользователей в админпанели к отдельным директориям? Получается, что если редактору давать возможность закачивать фотографии, скажем, только в папку upload, то ему приходится давать доступ ко всей файловой структуре (в том числе и ядру сайта). В-общем, проблема еще та…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Краш-тест для CMS