Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Introducao WAF Tchelinux 2012

3,518 views

Published on

Apresentação que realizei no Tchelinux Caxias do Sul 2012 sobre Web Application Firewalls: ModSecurity + OWASP Broken Web Application Project.

Published in: Technology
  • Be the first to comment

Introducao WAF Tchelinux 2012

  1. 1. Web Application Firewalls Jerônimo Zuccojeronimo.zucco@owasp.org
  2. 2. About me• Blog: http://jczucco.blogspot.com• Twitter: @jczucco• http://www.linkedin.com/in/jeronimozucco• http://www.owasp.org/index.php/User:Jeronimo_Zucco
  3. 3. Onde os dados estão ?
  4. 4. Quem acessa os dados ?
  5. 5. Onde estão as aplicações ?
  6. 6. O NOVO PERÍMETRO
  7. 7. Fonte: WhiteHat Website Security Statistics Report
  8. 8. WAF ?Dispositivo (Camada 7) especializado em aplicações Web
  9. 9. Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
  10. 10. Capacidade de detectar e bloquear ataques• Ataques Diretos• Ataques Indiretos• Modelo Positivo• Modelo Negativo• Modo de Aprendizagem
  11. 11. Detecção• Inspeciona cabecalho e o corpo da requisição• Inspeciona cabecalho e corpo da resposta• Inspeção de arquivos upload
  12. 12. Violação de protocolo• Vulnerabilidades do protocolo• Tamanho das requisições• Caracteres não ASCII nos cabeçalhos• Validação de cabeçalhos• Tentativa de uso como proxy
  13. 13. Políticas• Whitelists• Tamanho do request/upload• Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG)• Extensão de arquivos
  14. 14. Clientes Maliciosos• Comentários SPAM• Blacklists• Scanners• Negação de Serviço
  15. 15. Ataques na Aplicação• SQL injection e blind SQL injection• Cross site scripting (XSS)• Injeção de comando no SO ou acesso remoto• Inclusão remota de arquivos maliciosos• Assinaturas de vulnerabilidades p/apps conhecidas• Detecção de malware em uploads ou links maliciosos
  16. 16. Virtual Patching• Correcão de um erro da aplicação através de criação de regra no WAF• Correções rápidas• Zero Days• Aplicações fechadas• Custo para correção
  17. 17. Vazamento de Informação• Última linha de defesa• Vazamento de informações (Nro. Cartão de crédito, CPF, etc)• Erros HTTP• Informações do Banco de Dados• Stack Dumps
  18. 18. Debug• Detecção de erros na aplicação• Reprodução de eventos• Registro de eventos• Auxílio no debug de aplicação
  19. 19. WAFs Comerciais• SecureSphere - Imperva• Hyperguard - Art of Defence• Barracuda Web Application Firewall• Cisco ACE Web Application Firewall
  20. 20. WAFs Código Aberto• ModSecurity - Trustwave (Apache, IIS, Nginx)• WebKnight - Aqtronix (dll IIS)• IronBee - Qualys
  21. 21. Conclusões• Porque não corrigir a aplicação ?• Impacto na performance• Falso positivos e negativos• WAF = Mais uma camada de proteção• WAFs não resolvem o problema
  22. 22. DEMO• OWASP Broken Web Applications Project• ModSecurity + OWASP Core Rule Set• Browser :-)
  23. 23. DEMO• Directory Traversal• Local File Inclusion• SQL Injection
  24. 24. Referências• Web Application Firewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO• Web Application Security Consortium - http://www.webappsec.org• OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw• OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z• OWASP Top 10 - http://is.gd/megfVH
  25. 25. Referências• ModSecurity - http://www.modsecurity.org• OWASP Core Rule Set - http://is.gd/cjkuZ9• OWASP Broken Web Applications Project - http://is.gd/9bDO5C• Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6• LFI - Local File Inclusion - http://is.gd/g9gJb1• SQL Injection - http://is.gd/hDqgZm
  26. 26. Referências• Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ• Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL• Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y• ModSecurity Handbook - Ivan Ristic
  27. 27. Perguntas ?
  28. 28. Obrigado !jeronimo.zucco@owasp.org

×