SlideShare ist ein Scribd-Unternehmen logo

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

I
ibliss-seguranca

Comprei um firewall de aplicação e agora? Modelamos e configuramos com base nas necessidades dos negócios da empresa? Estamos nos protegendo corretamente? Entendemos nossas aplicações? Gargalos, bloqueios indevidos, clientes insatisfeitos. E agora? Tiramos a aplicação do firewall? Nesta palestra convido você a conhecer como elaborar um projeto para colocar sua aplicação protegida com seu firewall de aplicação tendo em vista os mínimos impactos ao negócio. Existem várias soluções no mercado de firewall de aplicações web, porém é importante entender o funcionamento de seu negócio, para assim buscar a tecnologia correta que melhor o atenda.

Technologie
1 von 25
Downloaden Sie, um offline zu lesen
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
#whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
#service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
Quanto valem meus negocio$ ? 4
Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
Web Application Firewall 9
Web Application Firewall 10 Open Source
Comprei minha caixinha e estou super seguro!!! 11
Não é bem assim…. 12
Entendendo minha aplicação
Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
WAF – Como as coisas acontecem! 17 Requisições:
Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
Exemplo recente 19
Exemplo recente 20
Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo:
OBRIGADO! Willian A.Mayan Email: willianmayan@ibliss.com.br

Empfohlen

#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOpsJaqueline Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Comparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastComparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastCentral Info
 
Europa de noite
Europa de noite Europa de noite
Europa de noite João Couto
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 

Empfohlen

#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOpsJaqueline Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Comparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastComparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastCentral Info
 
Europa de noite
Europa de noite Europa de noite
Europa de noite João Couto
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanAlexandre Almeida
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASPCarlos Serrao
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2William Costa
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Site invadido
Site invadidoSite invadido
Site invadidoEdilson Feitoza
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPKemp
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAmazon Web Services LATAM
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Wlad1m1r
 

Weitere ähnliche Inhalte

Ähnlich wie TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanAlexandre Almeida
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2William Costa
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPKemp
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Wlad1m1r
 

Ähnlich wie TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan (20)

E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

  • 1. TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
  • 2. #whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
  • 3. #service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
  • 4. Quanto valem meus negocio$ ? 4
  • 5. Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
  • 6. Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
  • 7. Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
  • 8. Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
  • 11. Comprei minha caixinha e estou super seguro!!! 11
  • 12. Não é bem assim…. 12
  • 14. Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
  • 15. Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
  • 16. Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
  • 17. WAF – Como as coisas acontecem! 17 Requisições:
  • 18. Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
  • 21. Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
  • 22. Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
  • 23. Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
  • 24. Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo: