CRS Hacking und ein Gewinner am zweiten CRS / ModSecurity Meetup Bern

Franziska Bühler

Vor einer Woche fand das zweite CRS / ModSecurity Meetup Bern bei Puzzle ITC statt. Dieses Mal stand ein spannender Hacking-Workshop auf dem Plan und so tauchten neben den angemeldeten noch zwei zusätzliche Besucher auf, was uns sehr freute.

Um 17:00 Uhr startete das Meetup und nach den „News aus der CRS / ModSecurity Welt“ stellte uns Christian Folini um 17:30 Uhr den Vortrag „Praktisches Arbeiten mit CRS Paranoia Levels“ vor. Es handelte sich um einen Entwurf seines Vortrags für die AppSec EU in Amsterdam Ende September. Christian teilte seine Erfahrungen mit den „Paranoia Levels in der Praxis“ und gab Empfehlungen ab, wie man schrittweise zu einem strengeren WAF-Setup gelangt. Mit dem CRS Paranoia Level kann man nämlich steuern, wie strikt die WAF blockiert.

Nach einer Runde Sandwiches und einem kühlen Bier, gesponsert von Puzzle ITC, ging es um 19:00 Uhr weiter mit einem „Request Header Hacking Workshop“ vorbereitet und geleitet von Franziska Bühler.

HTTP Request Header können ausgenutzt werden, um einen Angriff auf die Webapplikation auszuführen. Schon länger besteht der Wunsch auf einem höheren Paranoia Level (Aktivierung eines strikteren Regelwerks) die bekannten Request Header mit einer Whitelist zu überprüfen. Also nur genau die Request Header Inhalte zu erlauben, die das CRS explizit zulässt. Im Vorfeld des Workshops hatte Franziska Bühler 6 Request Header Whitelisting Regeln erstellt. Diese sollten nun in einem Workshop getestet werden. Ziel des Hacking Workshop war es, möglichst viele dieser neuen Regeln zu verletzen und damit aufzuzeigen, welche Whitelists noch erweitert werden müssen. In der Einladung wurden die Teilnehmer aufgefordert möglichst viele unterschiedliche Browser mitzunehmen. Neben einem mitgebrachten E-Book Reader und einer Spielkonsole wurden weitere spezielle User-Agents getestet und das Engagement der Teilnehmer hat uns sehr gefreut. Am Schluss stand der Sieger fest: Tim Herren.

Nach der Kürung des Siegers und der Übergabe einer Läderach-Schoggi um 20:00 Uhr gingen die Teilnehmer nach einem spannenden und unterhaltsamen Abend langsam nach Hause.

Die beiden Organisatoren Franziska Bühler und Christian Folini und natürlich auch Puzzle ITC freuen sich auf das dritte Meetup am Mittwoch, 30. Oktober um 17:00 Uhr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.