Comprei um firewall de aplicação e agora? Modelamos e configuramos com base nas necessidades dos negócios da empresa? Estamos nos protegendo corretamente? Entendemos nossas aplicações? Gargalos, bloqueios indevidos, clientes insatisfeitos. E agora? Tiramos a aplicação do firewall? Nesta palestra convido você a conhecer como elaborar um projeto para colocar sua aplicação protegida
com seu firewall de aplicação tendo em vista os mínimos impactos ao negócio.
Existem várias soluções no mercado de firewall de aplicações web, porém é importante entender o funcionamento de seu negócio, para assim buscar a tecnologia correta que melhor o atenda.
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
1. TIRE O MÁXIMO PROVEITO
DE SEU FIREWALL DE
APLICAÇÃO
Willian A.Mayan
2. #whoami
Willian.A.Mayan AKA Pupilo
Bacharel em Ciência da Computação
Embaixador do projeto Fedora por 3 anos
Tradutor do projeto Fedora
Atualmente contribuo para o NAXSI rules
Palestrante
Análista de Segurança
Organizador do NullByte Security Conference
3. #service speak start
3
Quanto valem meu$ negocio$ ?
Web Application Firewall
Comprei minha caixinha e estou super seguro!!!
Entendendo minha aplicação
WAF – Como as coisas acontecem!
• Vetores de entrada
• Utilizando recursos do meu WAF
• Whitelist
• REGEX
14. Entendendo minha aplicação
14
Aplicações em constante atualização
Pessoas envolvidas:
• Sysadmin
• Desenvolvedor
• DBA
• Analista de segurança
Aplicações legadas
• Aquele velho relógio de ponto
• Esse é so um “sisteminha” para o estoque
• A empresa não dá mais suporte para essa aplicação
15. Entendendo minha aplicação
15
Aplicação
Devel
Sysadmin
DBA
Security
Devel
Sysadmin
Reportar Novas Features
Reportar Necessidades
Entregar vetores de entrada
Analisar demanda:
-Versão do que foi solicitado
-Impactos em atualizações
Atualização de patchs de
correções
Security
DBA
Analisar vetores de entradas
Pentest
Configuração do WAF
Analisar impactos no SGBD
Analisar tempo das
requisições
Atualização do SGBD
16. Entendendo minha aplicação
16
Aplicações em constante atualização
• Ciclo de atualização deve estar acordado entre os profissionais
envolvidos
• Mapear vetores de entrada
• Pentest
• Manter-se informado sobre as tecnologias utilizadas
• Atualização constante de falhas de segurança e correções de bugs
• Monitorar ataques encontrados buscando as técnicas utilizadas para
prevenções futuras
• Correção de falhas de segurança
17. WAF – Como as coisas acontecem!
17
Requisições:
18. Exemplo recente
18
Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de
atualização do banco de dados.
“<a title='x onmouseover=alert(unescape(/hello%20world/.source))
style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA
AAA...[64 kb]..AAA'></a>”
Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.
Fonte: https://www.exploit-db.com/exploits/36844/
22. Utilizando recursos do meu WAF
22
WhiteList
BlackList
REGEX
DDOS
Monitoramento
Integração com LIDS e SIEM
…
23. Utilizando recursos do meu WAF
23
WhiteList VS BlackList
• Prós
• Liberar somente o que é necessário
• Facilidade de mitigar o ataque
• Contra
• A criação de regras pode ser complexa a depender do seu WAF
• Demanda tempo para testes
24. Utilizando recursos do meu WAF
24
O que é possível fazer com regex?
•Bloquear vetores de entrada
•Limitar valores de entrada
Observação importante
•REGEX não são iguais para todas as linguagens,
verifique a sintaxe da tecnologia que está sendo
utilizada.
Exemplo: