Nimm jetzt an der CTF-Competition für das Airlock Gateway teil.
Airlock® schützt weltweit mehr als 30’000 geschäftskritische Webanwendungen und APIs vor Angriffen und unerwünschten Besuchern. Eine der Komponenten ist Airlock Gateway, eine Web Application and API Protection (WAAP), die als Reverse Proxy fungiert und bösartige Anfragen, wie z.B. Cross-Site-Scripting (XSS) Angriffe, blockiert. Die Sicherheitsfunktionen von Airlock Gateway werden im Rahmen dieses Bug Bounty-Programms auf die Probe gestellt.
Dieses Programm unterscheidet sich von den anderen in dem Sinne, dass es wie ein Capture-the-Flag-Wettbewerb (CTF) aufgebaut ist. Das Ziel ist es, die Schutzfunktionen von Airlock Gateway zu umgehen. Die Implementierungsdetails von Webanwendungen und ihre Schwachstellen werden so dargelegt, dass es trivial wäre, sie ohne eine Web Application Firewall (WAF) auszunutzen.
Nachfolgend ein Beispiel für einen Umgehungsangriff auf den XSS-Sicherheitsfilter.
Angenommen, eine Webanwendung hat eine XSS-Schwachstelle in der folgenden Form wo du den INJECTION Platzhalter modifizieren kannst:
Hacker, die es schaffen, die alert() Funktion auszuführen, werden mit mehreren hundert Dollar für jede einzigartige Idee belohnt, wie die WAF-Filter umgangen werden können.
Angriffsbeispiele:
Bei diesen Challenges steht Airlock® Gateway vor mehreren Web-Applikationen und APIs, die bekannte Schwachstellen aufweisen (z.B. XSS-Schwachstellen). Ziel ist es, die Schwachstellen trotz der Application Firewall auszunutzen und so zu beweisen, dass Airlock Gateway nicht alle Angriffe blockiert.
Die Sicherheitsfilter des Airlock Gateways sind so konfiguriert, wie sie in einem normalen Produktionseinsatz verwendet werden würden (kein Paranoia-Modus).
Was wir von dir erwarten:
- Du bist an der Teilnahme an einem Bug Bounty im CTF-Stil interessiert.
- Du willst deine Fertigkeiten an einer Web Application Firewall trainieren und ein Experte im Verschleiern, Umgehen und Umgehen von Regeln werden.
- Du bist ein WAF- oder Penetrationstest-Experte.
Die Sicherheit der Systeme unserer Kunden hatte für uns schon immer oberste Priorität, und wir brauchen dich, um diese auf dem höchsten Niveau zu halten.
Was du von uns erwarten kannst:
- Gut dotierte Prämien im CTF-Stil (eine Filterumgehung kann unter Umständen mehrere Belohnungen einbringen)
- Zugriff auf die Implementierung der Webanwendungen, so dass es trivial wäre, sie ohne WAF auszunutzen
- Schier endlose Möglichkeiten zur Umgehung der Filterregeln
- Ein konstruktiver Dialog, faire Regeln und ein rechtssicherer Rahmen
Schwerpunktbereiche:
- SQL Injection
- Cross-Site Scripting (XSS) Unquoted Context
- Cross-Site Scripting (XSS) HTML Context
- Cross-Site Scripting (XSS) Quoted Context
- CSRF
- PHP injection
- Cookie Manipulation
- NoSQL Injection
- Non-compliant API Usage
- UNIX Command Injection
- OS Path Injection
Wir sind bestrebt, eng mit qualifizierten Sicherheitsforschern zusammenzuarbeiten, um sicherzustellen, dass unsere Produkte so sicher wie möglich sind.
Nimm jetzt am Programm teil!
Airlock® ist eine Security Innovation der Ergon Informatik AG