Core Security Technologies presentó CORE GRASP, una nueva tecnología diseñada para proteger aplicaciones web.
Caracteristicas generales:
- Open-source web-application security project.
- Distributed under the Apache 2.0 license as open source software for PHP.
- Includes complete protection against SQL-injection attacks for the MySQL engine, cross-site scripting (XSS) attacks, shell-command injection attacks and directory-traversal attacks.
- Linux, other Unixes and Windows are supported.
Esta tecnología, presentada en Black Hat USA 2007 por investigadores de CoreLabs, el brazo dedicado a investigación de Core Security, permite detectar y bloquear ataques de inyección del lado de la aplicación. Aunque la tecnología podría aplicarse a cualquier entorno de aplicaciones web y a una gran cantidad de ataques a las mismas, la compañía está proveyendo una implementación open-source de CORE GRASP para prevenir ataques de inyección de comandos SQL (SQL-injection attacks) para aplicaciones desarrolladas en PHP.Esta tecnología de protección de aplicaciones web se basa en una técnica de análisis dinámico granular sobre el flujo de datos reminiscente del taint analysis de Perl. No requiere acceder o hacer cambios en el código fuente de las aplicaciones web a proteger, y puede instalarse para resguardar aplicaciones ya existentes después de un mínimo esfuerzo de configuración.
“Las aplicaciones web son el eslabón débil en la infraestructura de seguridad informática de muchas organizaciones. Esto se debe al alto número de exploits e incidentes relacionados con SQL injection, cross-site scripting y otras vulnerabilidades relacionadas con las aplicaciones web. Las aplicaciones PHP son particularmente preocupantes debido al alto y acelerado crecimiento del número de bugs que se conocen, así como de la poca consideración que se le da a la seguridad durante el desarrollo y la instalación de las mismas”, dijo Iván Arce, CTO de Core Security. “Esperamos que la contribución que hacemos con la tecnología GRASP a la comunidad de seguridad de aplicaciones web ayude a mejorar el estado de la seguridad de PHP”.
Si bien existen varias herramientas de seguridad para aplicaciones web, éstas no previenen eficientemente la explotación de inyección de SQL u otras vulnerabilidades que son vectores de ataques comunes y altamente preligrosos. Los atacantes regularmente roban o modifican la información almacenada en las bases de datos (en el back end de la aplicación) para ganar acceso al back end mismo, explotando vulnerabilidades de inyección en aplicaciones web. Adicionalmente, una vez que las vulnerabilidades son detectadas, éstas son típicamente difíciles de arreglar en tiempo y forma pues este proceso usualmente involucra identificar y corregir bugs en el código fuente y re-instalar las aplicaciones arregladas (emparchadas) en los sistemas de producción.
Web oficial: grasp.coresecurity.com
Fuente: infonews.info
No hay comentarios:
Publicar un comentario