Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
Сергей Викторович Вихорев и Роман Кобцев рассуждают о проблемах импортозамещения в сфере обеспечения безопасности информации и информационных технологий в целом. Насколько росийские ИТ зависимы от импорта? Какие риски стоят за этим? Каковы прогнозы и перспективы импортозамещения в текущей ситуации?
Berezha Security was founded in 2014 and provides penetration testing services. Penetration test (pentest) - is a controlled simulation of a real hacker attack which reveals the real state of organization's information security and its ability to withstand an attack with minimal losses.
Berezha Security was established by the most experienced Ukrainian experts in the field of information security. In our work we use only reliable, proven methodologies and tools, some of which we created ourselves. Due to our own developments and vast experience we were able to significantly reduce the cost of our work and offer our customers high quality services for a perfectly balanced price, which is easy to calculate using the price calculator that is publicly available on the Berezha Security website.
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
Тарас Иващенко, Яндекс
Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.
Тема доклада
Сканирование уязвимостей со вкусом Яндекса.
Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
Сергей Викторович Вихорев и Роман Кобцев рассуждают о проблемах импортозамещения в сфере обеспечения безопасности информации и информационных технологий в целом. Насколько росийские ИТ зависимы от импорта? Какие риски стоят за этим? Каковы прогнозы и перспективы импортозамещения в текущей ситуации?
Berezha Security was founded in 2014 and provides penetration testing services. Penetration test (pentest) - is a controlled simulation of a real hacker attack which reveals the real state of organization's information security and its ability to withstand an attack with minimal losses.
Berezha Security was established by the most experienced Ukrainian experts in the field of information security. In our work we use only reliable, proven methodologies and tools, some of which we created ourselves. Due to our own developments and vast experience we were able to significantly reduce the cost of our work and offer our customers high quality services for a perfectly balanced price, which is easy to calculate using the price calculator that is publicly available on the Berezha Security website.
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
Тарас Иващенко, Яндекс
Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.
Тема доклада
Сканирование уязвимостей со вкусом Яндекса.
Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
Популярні способи зломів та шахрайські схемиAvivi Academy
Security Meetup
Іван Бондар
Elogic Commerce - Magento Development
Розробник систем веб-комерції на платформі Magento. 4 роки досвіду роботи з відомими міжнародними брендами, в розподілених командах з Франції, Німеччини, Англії, Італії, Австралії та США
Тези:
– підбір інструментів для зломів;
– доставка експлойта;
– отримання контролю над системою жертви;
– розширення можливостей контролю в атакуючому середовищі;
– крадіжка даних;
– виконання цілей атаки.
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...IT-Portfolio
20 апреля, DEV {highload} - конференция о Highload веб-разработке, "Демоны в большом проекте – проблемы и их решения (Redis, RabbitMQ, Skytools, Node.JS, HBase)", Александр Чистяков (ведущий разработчик Cezurity)
Аннотация
Когда команда разработчиков собирается написать новый сервис, у нее, как правило, отсутствует свободное время, но есть необходимый энтузиазм. Из-за нехватки времени многие архитектурные решения приходится принимать, руководствуясь общими соображениями, так как провести всесторонние тесты имеющихся на рынке средств в краткие сроки невозможно. Мы, специалисты компании Cezurity, начали свой проект не вчера, и уже накопили некоторый опыт использования технологий, появившихся сравнительно недавно - таких как Skytools, Node.JS, RabbitMQ и Redis. О том, какие возникли проблемы при внедрении этих средств, и какие их ограничения пришлось преодолевать и учитывать - мой доклад. Кроме того, я расскажу о новом направлении в нашей деятельности - внедрении HBase для хранения большого объема данных.
Биография
Докладчик - узкий специалист широкого профиля, относит себя к виду, называемому в современной англоязычной литературе термином "DevOps". Любит принимать участие в создании сложных систем и постоянно это делает. Никогда не работал в Яндексе, компенсировав это работой в Mail.Ru и некоторых других местах.
Node.js Меньше сложности, больше надежности Holy.js 2021Timur Shemsedinov
If Node.js is your everyday tool, it's almost certain that you use it in the wrong way, Timur will prove that in a very short review, uncover anti-patterns in your daily standard solutions, and show you the way to much better practices. The only thing that creates obstacles in your way to knowledge is your laziness.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Построение собственного JS SDK — зачем и как?buranLcme
Многие разработчики любят делать свои велосипеды, но не все задумываются зачем. Мы расскажем о том, зачем вам может понадобится собственный JavaScript SDK и полезно ли кататься на велосипедах.
Мы делали собственный JS SDK для того, чтобы дать возможность создания плагинов в рамках большой enterprise системы - <b>Parallels Automation</b> и <b>Plesk Panel</b>. Сам SDK является частью общего стандарта <b>APS</b>, который является шиной, объединяющей все наши продукты по автоматизации. Обе панели брендируются и мы должны были сохранить брендинг при уже существующей кодовой базе верстки и существующих правилах оформления. И главное - надо было дать возможность создания UI сторонним девелоперам, которые могут иметь абсолютно разный уровень - от пришедших бекэндеров до профессиональных js-разработчиков.
Similar to Web Application Firewalls / Иван Новиков (ONsec) (20)
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/2964.html
Одноклассники состоят из более чем восьми тысяч железных серверов, расположенных в нескольких дата-центрах. Каждая из этих машин была специализированной под конкретную задачу - как для обеспечения изоляции отказов, так и для обеспечения автоматизированного управления инфраструктурой.
...
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/3032.html
Протокол DNS на семь лет старше, чем Всемирная паутина. Стандарты RFC 882 и 883, определяющие основную функциональность системы доменных имён, появились в конце 1983 года, а первая реализация последовала уже годом позже. Естественно, что у технологии столь старой и при этом по сей день активнейшим образом используемой просто не могли не накопиться особенности, неочевидные обыкновенным пользователям.
...
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/3010.html
В этом докладе я расскажу, как BigData-платформа помогает трансформировать Почту России, как мы управляем построением и развитием платформы. Расскажу про найденные удачные решения, например, как разбиение на продукты с понятными SLA и интерфейсами между ними помогло нам сохранять управляемость с ростом масштабов проекта.
...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 10:00
Тезисы:
http://www.highload.ru/2017/abstracts/2914.html
Казалось бы, что нужно для организации тестового окружения? Тестовая железка и копия боевого окружения - и тестовый сервер готов. Но как быть, когда проект сложный? А когда большой? А если нужно тестировать одновременно много версий? А если все это вместе?
Организация тестирования большого развивающегося проекта, где одновременно в разработке и тестировании около полусотни фич - достаточно непростая задача. Ситуация обычно осложняется тем, что иногда есть желание потрогать еще не полностью готовый функционал. В таких ситуациях часто возникает вопрос: "А куда это можно накатить и где покликать?"
...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2854.html
Из этого доклада вы узнаете о возможностях репликации и автофейловера PostgreSQL, в том числе о возможностях, ставших доступных в PostgreSQL 10.
Среди прочих, будет затронуты следующие темы:
* Виды репликации и решаемые с ее помощью проблемы.
* Настройка потоковой репликации.
* Настройка логической репликации.
* Настройка автофейловера / HA средствами Stolon и Consul.
После прослушивания доклада вы сможете самостоятельно настраивать репликацию и автофейловер PostgreSQL.
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 17:00
Тезисы:
http://www.highload.ru/2017/abstracts/3096.html
PostgreSQL is the world’s most advanced open source database. Indeed! With around 270 configuration parameters in postgresql.conf, plus all the knobs in pg_hba.conf, it is definitely ADVANCED!
How many parameters do you tune? 1? 8? 32? Anyone ever tuned more than 64?
No tuning means below par performance. But how to start? Which parameters to tune? What are the appropriate values? Is there a tool --not just an editor like vim or emacs-- to help users manage the 700-line postgresql.conf file?
Join this talk to understand the performance advantages of appropriately tuning your postgresql.conf file, showcase a new free tool to make PostgreSQL configuration possible for HUMANS, and learn the best practices for tuning several relevant postgresql.conf parameters.
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/3115.html
During this session we will cover the last development in ProxySQL to support regular expressions (RE2 and PCRE) and how we can use this strong technique in correlation with ProxySQL's query rules to anonymize live data quickly and transparently. We will explain the mechanism and how to generate these rules quickly. We show live demo with all challenges we got from the Community and we finish the session by an interactive brainstorm testing queries from the audience.
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/2957.html
Расскажем о нашем опыте разработки модуля межсетевого экрана для MySQL с использованием генератора парсеров ANTLR и языка Kotlin.
Подробно рассмотрим следующие вопросы:
— когда и почему целесообразно использовать ANTLR;
— особенности разработки ANTLR-грамматики для MySQL;
— сравнение производительности рантаймов для ANTLR в рамках задачи синтаксического анализа MySQL (C#, Java, Kotlin, Go, Python, PyPy, C++);
— вспомогательные DSL;
— микросервисная архитектура модуля экранирования SQL;
— полученные результаты.
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/3114.html
ProxySQL aims to be the most powerful proxy in the MySQL ecosystem. It is protocol-aware and able to provide high availability (HA) and high performance with no changes in the application, using several built-in features and integration with clustering software. During this session we will quickly introduce its main features, so to better understand how it works. We will then describe multiple use case scenarios in which ProxySQL empowers large MySQL installations to provide HA with zero downtime, read/write split, query rewrite, sharding, query caching, and multiplexing using SSL across data centers.
MySQL Replication — Advanced Features / Петр Зайцев (Percona)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/2954.html
MySQL Replication is powerful and has added a lot of advanced features through the years. In this presentation we will look into replication technology in MySQL 5.7 and variants focusing on advanced features, what do they mean, when to use them and when not, Including.
When should you use STATEMENT, ROW or MIXED binary log format?
What is GTID in MySQL and MariaDB and why do you want to use them?
What is semi-sync replication and how is it different from lossless semi-sync?
...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 12:00
Тезисы:
http://www.highload.ru/2017/abstracts/3120.html
Количество разработчиков мобильных приложений Сбербанк Онлайн с начала 2016 года выросло на порядок. Для того чтобы продолжать выпускать качественный продукт, мы кардинально перестраиваем процесс разработки.
Количество внутренних заказчиков тех или иных доработок в какой-то момент выросло настолько, что разработчики стали узким местом. Мы внедрили культуру разработки, которую можно условно назвать "внутренним open-source", сохранив за собой контроль над архитектурой и качеством проекта, но позволив разрабатывать новые фичи всем желающим.
...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2836.html
При использовании Eventually Consistent распределенных баз данных нет гарантий, что чтение возвращает результаты последних изменений данных, если чтение и запись производятся на разных узлах. Это ограничивает пропускную способность системы. Поддержка свойства Causal Consistency снимает это ограничение, что позволяет улучшить масштабируемость, не требуя изменений в коде приложения.
...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/2858.html
Аудитория Одноклассников превышает 73 миллиона человек в России, СНГ и странах дальнего зарубежья. При этом ОК.ru - первая социальная сеть по просмотрам видео в рунете и крупнейшая сервисная платформа.
Качественный и количественный рост DDoS-атак за последние годы превращает их в одну из первоочередных проблем для крупнейших интернет-ресурсов. В зависимости от вектора атаки “узким” местом становится та или иная часть инфраструктуры. В частности, при SYN-flood первый удар приходится на систему балансировки трафика. От ее производительности зависит успех в противостоянии атаке.
...
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/3008.html
Никогда не было и вот снова случилось! Компания Google в результате перенаправления трафика сделала недостпуными в Японии несколько тысяч различных сервисов, большинство из которых никак не связано с самой компанией Google. Однако, подобные инциденты происходят с завидной регулярностью, вот только не всегда попадают в большие СМИ. У таких инцидентов могут быть разные причины, начиная от ошибок сетевых инженеров и заканчивая государственным регулированием.
...
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2925.html
Облака и виртуализация – современные тренды развития IT-технологий. Операторы связи строят свои TelcoClouds на стандартах NFV (Network Functions Virtualization) и SDN (Software-Defined Networking). В докладе начнем с основ виртуализации, далее разберемся, для чего используются NFV и SDN, потом полетим к облакам и вернемся на землю для решения практических задач!
...
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 10:00
Тезисы:
http://www.highload.ru/2017/abstracts/3045.html
Как мы заставили Druid работать в Одноклассниках.
«Druid is a high-performance, column-oriented, distributed data store» http://druid.io.
Мы расскажем о том, как, внедрив Druid, мы справились с ситуацией, когда MSSQL-based система статистики на 50 терабайт стала:
- медленной: средняя скорость ответа была в разы меньше требуемой (и увеличилась в 20 раз);
- нестабильной: в час пик статистика отставала до получаса (теперь ничего не отстает);
- дорогой: изменилась политика лицензирования Microsoft, расходы на лицензии могли составить миллионы долларов.
...
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2905.html
Прошло более года с того момента, как Microsoft выпустила первую версию своего нового фреймворка для разработки web-приложений ASP.NET Core, и с каждым днем он находит все больше поклонников. ASP.NET Core базируется на платформе .NET Core, кроссплатформенной версии платформы .NET c открытым исходным кодом. Теперь у С#-разработчиков появилась возможность использовать Mac в качестве среды разработки, и запускать приложения на Linux или внутри Docker-контейнеров.
...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2913.html
Изначально будут раскрыты базовые причины, которые заставили появиться такой части механизма СУБД, как кэш результатов, и почему в ряде СУБД он есть или отсутствует.
Будут рассмотрены различные варианты кэширования результатов как sql-запросов, так и результатов хранимой в БД бизнес-логики. Произведено сравнение способов кэширования (программируемые вручную кэши, стандартный функционал) и даны рекомендации, когда и в каких случаях данные способы оптимальны, а порой опасны.
...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/2947.html
Apache Ignite — Open Source платформа для высокопроизводительной распределенной работы с большими данными с применением SQL или Java/.NET/C++ API. Ignite используют в самых разных отраслях. Сбербанк, ING, RingCentral, Microsoft, e-Therapeutics — все эти компании применяют решения на основе Ignite. Размеры кластеров разнятся от всего одного узла до нескольких сотен, узлы могут быть расположены в одном ЦОД-е или в нескольких геораспределенных.
...
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 12:00
Тезисы:
http://www.highload.ru/2017/abstracts/3005.html
Когда мы говорим о нагруженных системах и базах данных с большим числом параллельных коннектов, особый интерес представляет практика эксплуатации и сопровождения таких проектов. В том числе инструменты и механизмы СУБД, которые могут быть использованы DBA и DevOps-инженерами для решения задач мониторинга жизнедеятельности базы данных и ранней диагностики возможных проблем.
...
1. HOWTO:
Web
Applica/on
Firewalls
Проблематика
и
обзор
решений
Иван
Новиков
понедельник, 22 апреля 13 г.
2. Что
такое?
• WAF
-‐
Web
Applica/on
Firewall
• Средства
обнаружения
и
блокировки
атак
на
веб-‐приложения
• Атаки
на
приложение
-‐
эксплуатация
ошибок
с
целью
получения
НСД
• АТАКА
!=
УЯЗВИМОСТЬ
понедельник, 22 апреля 13 г.
3. Кто
атакует?
• Автоматические
сканеры
из
бот-‐сетей
• Школьники
(script-‐kiddies)
• Злоумышленники
(сбор
бот-‐сетей,
перепродажа
трафика)
• «Киллеры»
на
заказ
• Аудиторы-‐«антикиллеры»
на
заказ
от
вас
понедельник, 22 апреля 13 г.
4. Как
атакуют?
• Уязвимости
движков
и
компонент
– WordPress
(/mthumb)
– PhpMyAdmin
(unserialize)
– TinyMCE
(file
upload)
– JQuery
(DOM-‐based
XSS)
понедельник, 22 апреля 13 г.
5. Как
атакуют?
• Уязвимости
веб-‐приложений
• XSS
• SQL
injec/on
• Local
File
Inclusion
(LFI/RFI)
• ...
понедельник, 22 апреля 13 г.
6. Что
делать?
• Не
закрывать
глаза
• Не
бояться
• Разбираться
в
проблеме
• Понимать
методы
борьбы
и
решения
• Применять
их
понедельник, 22 апреля 13 г.
7. Как
бороться?
• Блокировать
атаки
с
помощью
WAF
• Проверять
атаки
на
предмет
реального
наличия
уязвимостей
• Выявлять
уязвимости
• Устранять
уязвимости
• Не
допускать
аналогичных
в
дальнейшем
понедельник, 22 апреля 13 г.
8. Как
работает
WAF?
• Пропустить
все
запросы
через
себя
• Анализировать
содержимое
запрос
• Блокировать
запрос
при
наличии
атаки
• Пропустить
запрос
на
бэкэнд,
если
атака
не
обнаружена
понедельник, 22 апреля 13 г.
9. Как
работает
Web
App
Firewall?
Сервер
приложений
WAF
Клиент
HTTP запрос
Хакер
вектор атаки
понедельник, 22 апреля 13 г.
11. Мифы
о
WAF
• WAF
блокирует
уязвимости!
• Есть
WAF
=>
Firewall
не
нужен!
• Есть
Firewall
=>
WAF
не
нужен!
• WAF
защищает
все
мои
сервисы:
почту,
базу,
LDAP
• Приложение
нельзя
взломать
через
WAF
• Приложение
все-‐равно
взломают,
WAF
не
нужен!
понедельник, 22 апреля 13 г.
12. Мифы
о
WAF
• Можно
настроить
WAF,
чтобы
он
вообще
НИКОГДА
не
ошибался
• WAF
никак
не
скажется
на
производительности
фронтэндов
• WAF
можно
не
настраивать,
«для
начала»
поставим
как
есть,
а
там
посмотрим
«как
пойдет»
• WAF
что-‐то
«блокирует»
и
«хорошо»,
смотреть
логи
необязательно
• У
меня
ASP.NET,
там
встроенный
WAF!
понедельник, 22 апреля 13 г.
14. Бесплатные
WAF
• Плюсы
– Открытый
код
– Установка
на
свое
железо
• Минусы
– Не
работают
без
настройки
– Не
настраиваются
без
специалиста
– Нет
поддержки
понедельник, 22 апреля 13 г.
15. Платные
WAF
• ModSecurity
from
Trustwave
consul/ng
• Imperva
• Barracuda
• SRA
WAF
(Dell)
понедельник, 22 апреля 13 г.
16. Платные
WAF
• Плюсы
– Поддержка
• Минусы
– Готовое
железо
– Масштабирование
– Производительность
– Закрытый
код
понедельник, 22 апреля 13 г.
17. Обзор
mod_security
• Один
из
первых
(если
не
самый
первый)
общедоступный
WAF
-‐
пионер
•
Можно
купить
коммерческие
правила
(16
тыс.
+)
– $200/год
за
сервер,
$180/год
при
покупке
лицензии
на
3
года
– $135/год
за
сервер
при
покупке
лицензий
на
100
серверов
на
3
года
понедельник, 22 апреля 13 г.
18. Обзор
mod_security
• Опыт
внедрения
от
клиента:
– Было
4
фронтэнда
без
mod_security
– Стало
13
фрондэндов
с
mod_security
– $2470/год
на
лицензии
– $20k+/год
на
консалтинг
– Через
год
от
решения
отказались
из-‐за
жалоб
клиентов
-‐
false
posi/ves.
Не
успевали
править
понедельник, 22 апреля 13 г.
19. Обзор
mod_security
• Новый
продукт,
полностью
бесплатный,
доступны
исходные
коды
• Первый
под
nginx
(сейчас
есть
mod_security
nginx)
• Черные
и
белые
списки:
– Черные
списки
-‐
сигнатуры
атак
– Белые
списки
-‐
не
искать
атаку
здесь
• Режим
«обучения»
по
трафику
клиентов
-‐
добавляет
в
белые
списки
понедельник, 22 апреля 13 г.
20. Обзор
naxsi
• Можно
внедрить
в
цикл
тестирования
веб-‐
проекта
с
целью
снизить
ложные
срабатывания
за
счет
«обучения»
на
заведомо
легитимном
трафике
• Можно
купить
платные
правила
mod_security
и
портировать
их
под
naxsi
самостоятельно
-‐
HACK!
понедельник, 22 апреля 13 г.
21. Обзор
naxsi
• Рассчет
на
базовые
правила
и
отключения
их
по
принципу
-‐
жалуется
-‐
отключить
все
может
привести
к
пропуску
атак
• Обучение
на
основе
количества
срабатываний
-‐
если
срабатываний
много,
значит
они
«ложные»
• Консалтинговые
услуги
не
оказываются,
придется
разбираться
самим
понедельник, 22 апреля 13 г.
22. Насколько
эффективны
WAF
против
хакеров?
• Конкурс
по
обходу
mod_security
проводился
в
2011
году:
hŸp://blog.spiderlabs.com/2011/07/
modsecurity-‐sql-‐injec/on-‐challenge-‐lessons-‐
learned.html
• Минимальное
время,
за
которое
WAF
сломали
эксперты
-‐
10
часов,
среднее
-‐
72
часа,
минимальное
кол-‐во
запросов
-‐
118
понедельник, 22 апреля 13 г.
23. Насколько эффективны WAF
против хакеров?
• Вместе с хорошо настроенным WAF у вас есть 10
часов от момента срабатывания до момента
исправления уязвимости
• Без WAF - 1-2 минуты
• С плохо настроенным - 5-10 минут
понедельник, 22 апреля 13 г.
24. Выводы
• Серебрянной
пули
не
бывает
• Поставьте,
настройте,
проверьте,
ПРОЧУВСТВУЙТЕ
• Своевременное
детектирование
дает
время
на
устранение
уязвимости,
около
10
часов
понедельник, 22 апреля 13 г.
25. Общие
проблемы
• Производительность
WAF
линейно
падает
с
ростом
числа
правил
(сигнатур),
16000
!!!
• Много
лишних
правил
по-‐умолчанию
или
много
трудозатрат
на
их
устранение
• Сигнатуры
не
выдерживают
обфускации
и
обходятся
в
конечном
счете
• Новые
атаки
обнаружатся
только
после
получения
новых
сигнатур
понедельник, 22 апреля 13 г.
26. Нам
нужна
ваша
помощь!
• Для
прототипа
нового
решения
необходим
«живой»
трафик
• Если
вы
подключены
к
Qrator,
и
готовы
учавствовать
в
открытом
тестировании,
оставьте
заявку:
beta-‐qr@ONsec.ru
или
@ONsec_Lab
twi
понедельник, 22 апреля 13 г.