Nimm jetzt an der CTF-Competition für das Airlock Gateway teil.

Airlock® schützt weltweit mehr als 30’000 geschäftskritische Webanwendungen und APIs vor Angriffen und unerwünschten Besuchern. Eine der Komponenten ist Airlock Gateway, eine Web Application and API Protection (WAAP), die als Reverse Proxy fungiert und bösartige Anfragen, wie z.B. Cross-Site-Scripting (XSS) Angriffe, blockiert. Die Sicherheitsfunktionen von Airlock Gateway werden im Rahmen dieses Bug Bounty-Programms auf die Probe gestellt.

Dieses Programm unterscheidet sich von den anderen in dem Sinne, dass es wie ein Capture-the-Flag-Wettbewerb (CTF) aufgebaut ist. Das Ziel ist es, die Schutzfunktionen von Airlock Gateway zu umgehen. Die Implementierungsdetails von Webanwendungen und ihre Schwachstellen werden so dargelegt, dass es trivial wäre, sie ohne eine Web Application Firewall (WAF) auszunutzen.

Nachfolgend ein Beispiel für einen Umgehungsangriff auf den XSS-Sicherheitsfilter.

Angenommen, eine Webanwendung hat eine XSS-Schwachstelle in der folgenden Form wo du den INJECTION Platzhalter modifizieren kannst:

Hacker, die es schaffen, die alert() Funktion auszuführen, werden mit mehreren hundert Dollar für jede einzigartige Idee belohnt, wie die WAF-Filter umgangen werden können.

 

Angriffsbeispiele:

Bei diesen Challenges steht Airlock® Gateway vor mehreren Web-Applikationen und APIs, die bekannte Schwachstellen aufweisen (z.B. XSS-Schwachstellen). Ziel ist es, die Schwachstellen trotz der Application Firewall auszunutzen und so zu beweisen, dass Airlock Gateway nicht alle Angriffe blockiert.

Die Sicherheitsfilter des Airlock Gateways sind so konfiguriert, wie sie in einem normalen Produktionseinsatz verwendet werden würden (kein Paranoia-Modus).

 

Was wir von dir erwarten:

Die Sicherheit der Systeme unserer Kunden hatte für uns schon immer oberste Priorität, und wir brauchen dich, um diese auf dem höchsten Niveau zu halten.

 

Was du von uns erwarten kannst:

 

Schwerpunktbereiche:

 

Wir sind bestrebt, eng mit qualifizierten Sicherheitsforschern zusammenzuarbeiten, um sicherzustellen, dass unsere Produkte so sicher wie möglich sind.

Nimm jetzt am Programm teil!

 

Teilnehmen

 

Airlock® ist eine Security Innovation der Ergon Informatik AG