TIRE O MÁXIMO PROVEITO
DE SEU FIREWALL DE
APLICAÇÃO
Willian A.Mayan
#whoami
Willian.A.Mayan AKA Pupilo
Bacharel em Ciência da Computação
Embaixador do projeto Fedora por 3 anos
Tradutor do p...
#service speak start
3
Quanto valem meu$ negocio$ ?
Web Application Firewall
Comprei minha caixinha e estou super seguro!!...
Quanto valem meus negocio$ ?
4
Quanto valem meus negocio$ ?
5
O que aconteceria se
o botão do seu e-
commerce de
pagamento não
estivesse
funcionando?
Quanto valem meus negocio$ ?
6
Ou se um alto número de acessos em um determinado horário
bloqueasse todos os seus clientes?
Web Application Firewall
Quem são, para onde vão e porquê
meu site não funciona corretamente?
Web Application Firewall
8
Quadrant for Web Applications Firewalls
-Imperva
-F5
-Citrix
-Barracuda Networks
-Akamai
Referê...
Web Application Firewall
9
Web Application Firewall
10
Open Source
Comprei minha caixinha e
estou super seguro!!!
11
Não é bem assim….
12
Entendendo minha aplicação
Entendendo minha aplicação
14
Aplicações em constante atualização
Pessoas envolvidas:
• Sysadmin
• Desenvolvedor
• DBA
• A...
Entendendo minha aplicação
15
Aplicação
Devel
Sysadmin
DBA
Security
Devel
Sysadmin
Reportar Novas Features
Reportar Necess...
Entendendo minha aplicação
16
Aplicações em constante atualização
• Ciclo de atualização deve estar acordado entre os prof...
WAF – Como as coisas acontecem!
17
Requisições:
Exemplo recente
18
Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de
atualização do banco de dados.
“<a tit...
Exemplo recente
19
Exemplo recente
20
Vetores de entrada
21
Requisições GET, POST, PUT, etc…
• Consultas
• Upload
• Buscas
• Índices
Exemplos:
“/res/I18nMsg,Ajx...
Utilizando recursos do meu WAF
22
WhiteList
BlackList
REGEX
DDOS
Monitoramento
Integração com LIDS e SIEM
…
Utilizando recursos do meu WAF
23
WhiteList VS BlackList
• Prós
• Liberar somente o que é necessário
• Facilidade de mitig...
Utilizando recursos do meu WAF
24
O que é possível fazer com regex?
•Bloquear vetores de entrada
•Limitar valores de entra...
OBRIGADO!
Willian A.Mayan
Email: willianmayan@ibliss.com.br
Próximos SlideShares
Carregando em…5
×

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

134 visualizações

Publicada em

Comprei um firewall de aplicação e agora? Modelamos e configuramos com base nas necessidades dos negócios da empresa? Estamos nos protegendo corretamente? Entendemos nossas aplicações? Gargalos, bloqueios indevidos, clientes insatisfeitos. E agora? Tiramos a aplicação do firewall? Nesta palestra convido você a conhecer como elaborar um projeto para colocar sua aplicação protegida
com seu firewall de aplicação tendo em vista os mínimos impactos ao negócio.

Existem várias soluções no mercado de firewall de aplicações web, porém é importante entender o funcionamento de seu negócio, para assim buscar a tecnologia correta que melhor o atenda.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
134
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

  1. 1. TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
  2. 2. #whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
  3. 3. #service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
  4. 4. Quanto valem meus negocio$ ? 4
  5. 5. Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
  6. 6. Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
  7. 7. Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
  8. 8. Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
  9. 9. Web Application Firewall 9
  10. 10. Web Application Firewall 10 Open Source
  11. 11. Comprei minha caixinha e estou super seguro!!! 11
  12. 12. Não é bem assim…. 12
  13. 13. Entendendo minha aplicação
  14. 14. Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
  15. 15. Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
  16. 16. Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
  17. 17. WAF – Como as coisas acontecem! 17 Requisições:
  18. 18. Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
  19. 19. Exemplo recente 19
  20. 20. Exemplo recente 20
  21. 21. Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
  22. 22. Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
  23. 23. Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
  24. 24. Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo:
  25. 25. OBRIGADO! Willian A.Mayan Email: willianmayan@ibliss.com.br

×