Introducao WAF Tchelinux 2012

  • 2,032 views
Uploaded on

Apresentação que realizei no Tchelinux Caxias do Sul 2012 sobre Web Application Firewalls: ModSecurity + OWASP Broken Web Application Project.

Apresentação que realizei no Tchelinux Caxias do Sul 2012 sobre Web Application Firewalls: ModSecurity + OWASP Broken Web Application Project.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,032
On Slideshare
0
From Embeds
0
Number of Embeds
35

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Web Application Firewalls Jerônimo Zuccojeronimo.zucco@owasp.org
  • 2. About me• Blog: http://jczucco.blogspot.com• Twitter: @jczucco• http://www.linkedin.com/in/jeronimozucco• http://www.owasp.org/index.php/User:Jeronimo_Zucco
  • 3. Onde os dados estão ?
  • 4. Quem acessa os dados ?
  • 5. Onde estão as aplicações ?
  • 6. O NOVO PERÍMETRO
  • 7. Fonte: WhiteHat Website Security Statistics Report
  • 8. WAF ?Dispositivo (Camada 7) especializado em aplicações Web
  • 9. Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
  • 10. Capacidade de detectar e bloquear ataques• Ataques Diretos• Ataques Indiretos• Modelo Positivo• Modelo Negativo• Modo de Aprendizagem
  • 11. Detecção• Inspeciona cabecalho e o corpo da requisição• Inspeciona cabecalho e corpo da resposta• Inspeção de arquivos upload
  • 12. Violação de protocolo• Vulnerabilidades do protocolo• Tamanho das requisições• Caracteres não ASCII nos cabeçalhos• Validação de cabeçalhos• Tentativa de uso como proxy
  • 13. Políticas• Whitelists• Tamanho do request/upload• Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG)• Extensão de arquivos
  • 14. Clientes Maliciosos• Comentários SPAM• Blacklists• Scanners• Negação de Serviço
  • 15. Ataques na Aplicação• SQL injection e blind SQL injection• Cross site scripting (XSS)• Injeção de comando no SO ou acesso remoto• Inclusão remota de arquivos maliciosos• Assinaturas de vulnerabilidades p/apps conhecidas• Detecção de malware em uploads ou links maliciosos
  • 16. Virtual Patching• Correcão de um erro da aplicação através de criação de regra no WAF• Correções rápidas• Zero Days• Aplicações fechadas• Custo para correção
  • 17. Vazamento de Informação• Última linha de defesa• Vazamento de informações (Nro. Cartão de crédito, CPF, etc)• Erros HTTP• Informações do Banco de Dados• Stack Dumps
  • 18. Debug• Detecção de erros na aplicação• Reprodução de eventos• Registro de eventos• Auxílio no debug de aplicação
  • 19. WAFs Comerciais• SecureSphere - Imperva• Hyperguard - Art of Defence• Barracuda Web Application Firewall• Cisco ACE Web Application Firewall
  • 20. WAFs Código Aberto• ModSecurity - Trustwave (Apache, IIS, Nginx)• WebKnight - Aqtronix (dll IIS)• IronBee - Qualys
  • 21. Conclusões• Porque não corrigir a aplicação ?• Impacto na performance• Falso positivos e negativos• WAF = Mais uma camada de proteção• WAFs não resolvem o problema
  • 22. DEMO• OWASP Broken Web Applications Project• ModSecurity + OWASP Core Rule Set• Browser :-)
  • 23. DEMO• Directory Traversal• Local File Inclusion• SQL Injection
  • 24. Referências• Web Application Firewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO• Web Application Security Consortium - http://www.webappsec.org• OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw• OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z• OWASP Top 10 - http://is.gd/megfVH
  • 25. Referências• ModSecurity - http://www.modsecurity.org• OWASP Core Rule Set - http://is.gd/cjkuZ9• OWASP Broken Web Applications Project - http://is.gd/9bDO5C• Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6• LFI - Local File Inclusion - http://is.gd/g9gJb1• SQL Injection - http://is.gd/hDqgZm
  • 26. Referências• Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ• Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL• Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y• ModSecurity Handbook - Ivan Ristic
  • 27. Perguntas ?
  • 28. Obrigado !jeronimo.zucco@owasp.org