Jeronimo Zucco, profile picture
Carregado porJeronimo Zucco
3,850 visualizações

Introducao WAF Tchelinux 2012

O documento discute a importância dos firewalls de aplicação web (WAFs) na proteção de aplicações contra diversos tipos de ataques, como SQL injection e XSS. Ele destaca o papel do ModSecurity como uma solução de código aberto, além de mencionar políticas de segurança, vulnerabilidades e a necessidade de uma camada extra de proteção. Referências e exemplos de implementações comerciais e open-source de WAFs são igualmente apresentados.

Incorporar apresentação

Web Application Firewalls Jerônimo Zucco jeronimo.zucco@owasp.org
About me • Blog: http://jczucco.blogspot.com • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • http://www.owasp.org/index.php/User:Jeronimo_Zucco
Onde os dados estão ?
Quem acessa os dados ?
Onde estão as aplicações ?
O NOVO PERÍMETRO
Fonte: WhiteHat Website Security Statistics Report
WAF ? Dispositivo (Camada 7) especializado em aplicações Web
Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
Capacidade de detectar e bloquear ataques • Ataques Diretos • Ataques Indiretos • Modelo Positivo • Modelo Negativo • Modo de Aprendizagem
Detecção • Inspeciona cabecalho e o corpo da requisição • Inspeciona cabecalho e corpo da resposta • Inspeção de arquivos upload
Violação de protocolo • Vulnerabilidades do protocolo • Tamanho das requisições • Caracteres não ASCII nos cabeçalhos • Validação de cabeçalhos • Tentativa de uso como proxy
Políticas • Whitelists • Tamanho do request/upload • Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG) • Extensão de arquivos
Clientes Maliciosos • Comentários SPAM • Blacklists • Scanners • Negação de Serviço
Ataques na Aplicação • SQL injection e blind SQL injection • Cross site scripting (XSS) • Injeção de comando no SO ou acesso remoto • Inclusão remota de arquivos maliciosos • Assinaturas de vulnerabilidades p/apps conhecidas • Detecção de malware em uploads ou links maliciosos
Virtual Patching • Correcão de um erro da aplicação através de criação de regra no WAF • Correções rápidas • Zero Days • Aplicações fechadas • Custo para correção
Vazamento de Informação • Última linha de defesa • Vazamento de informações (Nro. Cartão de crédito, CPF, etc) • Erros HTTP • Informações do Banco de Dados • Stack Dumps
Debug • Detecção de erros na aplicação • Reprodução de eventos • Registro de eventos • Auxílio no debug de aplicação
WAFs Comerciais • SecureSphere - Imperva • Hyperguard - Art of Defence • Barracuda Web Application Firewall • Cisco ACE Web Application Firewall
WAFs Código Aberto • ModSecurity - Trustwave (Apache, IIS, Nginx) • WebKnight - Aqtronix (dll IIS) • IronBee - Qualys
Conclusões • Porque não corrigir a aplicação ? • Impacto na performance • Falso positivos e negativos • WAF = Mais uma camada de proteção • WAFs não resolvem o problema
DEMO • OWASP Broken Web Applications Project • ModSecurity + OWASP Core Rule Set • Browser :-)
DEMO • Directory Traversal • Local File Inclusion • SQL Injection
Referências • Web Application Firewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO • Web Application Security Consortium - http://www.webappsec.org • OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw • OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z • OWASP Top 10 - http://is.gd/megfVH
Referências • ModSecurity - http://www.modsecurity.org • OWASP Core Rule Set - http://is.gd/cjkuZ9 • OWASP Broken Web Applications Project - http://is.gd/9bDO5C • Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6 • LFI - Local File Inclusion - http://is.gd/g9gJb1 • SQL Injection - http://is.gd/hDqgZm
Referências • Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ • Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL • Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y • ModSecurity Handbook - Ivan Ristic
Perguntas ?
Obrigado ! jeronimo.zucco@owasp.org

Mais conteúdo relacionado

PDF
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
porJeronimo Zucco
 
PDF
Segurança Através de Gerência de Configurações
porJeronimo Zucco
 
PDF
Validando a Segurança de Software
porJeronimo Zucco
 
PDF
Introducão a Web Applications Firewalls
porJeronimo Zucco
 
PDF
Segurança em desenvolvimento de software
porJeronimo Zucco
 
PPTX
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
porPatricia Ladislau Silva
 
PDF
Apresentação sobre Zabbix na iDEZ 2012
porAécio Pires
 
PPTX
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
porPatricia Ladislau Silva
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
porJeronimo Zucco
 
Segurança Através de Gerência de Configurações
porJeronimo Zucco
 
Validando a Segurança de Software
porJeronimo Zucco
 
Introducão a Web Applications Firewalls
porJeronimo Zucco
 
Segurança em desenvolvimento de software
porJeronimo Zucco
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
porPatricia Ladislau Silva
 
Apresentação sobre Zabbix na iDEZ 2012
porAécio Pires
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
porPatricia Ladislau Silva
 

Mais procurados

PDF
Segurança em aplicações web
porCOTIC-PROEG (UFPA)
 
PPTX
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
porZabbix BR
 
PPT
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
porClavis Segurança da Informação
 
PPSX
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
porZabbix BR
 
PDF
Monitorando ativos com Zabbix
porZabbix BR
 
PDF
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
PDF
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
porAécio Pires
 
PPTX
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
porWerneck Costa
 
ODP
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
poraristotelesaraujo
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PDF
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
porClavis Segurança da Informação
 
PDF
Monitoramento de ativos com zabbix
porRafael Gomes
 
PPT
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
porClavis Segurança da Informação
 
PPTX
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
porZabbix BR
 
PDF
Monitoração avançada com Zabbix 2
porJose Augusto Carvalho
 
PPTX
Apresentacao zabbix
porDaniel Peres
 
PPTX
Gerenciamento de Redes com Zabbix
porAndré Déo
 
PDF
Monitoramento Opensource com Zabbix
porRenato Batista
 
PDF
Projeto Zabbix: Conhecendo a ferramenta
porAécio Pires
 
PDF
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
porClavis Segurança da Informação
 
Segurança em aplicações web
porCOTIC-PROEG (UFPA)
 
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
porZabbix BR
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
porClavis Segurança da Informação
 
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
porZabbix BR
 
Monitorando ativos com Zabbix
porZabbix BR
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
porAécio Pires
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
porWerneck Costa
 
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
poraristotelesaraujo
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
porClavis Segurança da Informação
 
Monitoramento de ativos com zabbix
porRafael Gomes
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
porClavis Segurança da Informação
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
porZabbix BR
 
Monitoração avançada com Zabbix 2
porJose Augusto Carvalho
 
Apresentacao zabbix
porDaniel Peres
 
Gerenciamento de Redes com Zabbix
porAndré Déo
 
Monitoramento Opensource com Zabbix
porRenato Batista
 
Projeto Zabbix: Conhecendo a ferramenta
porAécio Pires
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
porClavis Segurança da Informação
 

Destaque

PDF
Implementing ossec
porJeronimo Zucco
 
PDF
Owasp top 10 2013
porJeronimo Zucco
 
PPTX
Malware Detection with OSSEC HIDS - OSSECCON 2014
porSantiago Bassett
 
PDF
Ossec Lightning
porwremes
 
PPSX
What is firewall
porHarshana Jayarathna
 
PDF
Fosdem10
porwremes
 
PPTX
Securing Hadoop with OSSEC
porVic Hargrave
 
PDF
Aws security with HIDS, OSSEC
porMayank Gaikwad
 
PPTX
Solving the Open Source Security Puzzle
porVic Hargrave
 
PDF
Defense in Depth – Your Security Castle
porCoastal Pet Products, Inc.
 
PPTX
Improve Threat Detection with OSSEC and AlienVault USM
porAlienVault
 
PPTX
OSSIM Overview
porn|u - The Open Security Community
 
PPTX
Ossec – host based intrusion detection system
porHai Dinh Tuan
 
PPTX
A NSA me segue (e a CIA também!)
porAnchises Moraes
 
PPTX
Advanced OSSEC Training: Integration Strategies for Open Source Security
porAlienVault
 
PPTX
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
porSantiago Bassett
 
PPT
1ª aula forense computacional
porJoão Freire Abramowicz
 
PPTX
The Cyber Threat Intelligence Matrix
porFrode Hommedal
 
PDF
Stop using Nagios (so it can die peacefully)
porAndy Sykes
 
PPTX
Attack monitoring using ElasticSearch Logstash and Kibana
porPrajal Kulkarni
 
Implementing ossec
porJeronimo Zucco
 
Owasp top 10 2013
porJeronimo Zucco
 
Malware Detection with OSSEC HIDS - OSSECCON 2014
porSantiago Bassett
 
Ossec Lightning
porwremes
 
What is firewall
porHarshana Jayarathna
 
Fosdem10
porwremes
 
Securing Hadoop with OSSEC
porVic Hargrave
 
Aws security with HIDS, OSSEC
porMayank Gaikwad
 
Solving the Open Source Security Puzzle
porVic Hargrave
 
Defense in Depth – Your Security Castle
porCoastal Pet Products, Inc.
 
Improve Threat Detection with OSSEC and AlienVault USM
porAlienVault
 
OSSIM Overview
porn|u - The Open Security Community
 
Ossec – host based intrusion detection system
porHai Dinh Tuan
 
A NSA me segue (e a CIA também!)
porAnchises Moraes
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
porAlienVault
 
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
porSantiago Bassett
 
1ª aula forense computacional
porJoão Freire Abramowicz
 
The Cyber Threat Intelligence Matrix
porFrode Hommedal
 
Stop using Nagios (so it can die peacefully)
porAndy Sykes
 
Attack monitoring using ElasticSearch Logstash and Kibana
porPrajal Kulkarni
 

Semelhante a Introducao WAF Tchelinux 2012

PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PDF
Utilizando Técnicas de OSINT para inutilizar Soluções de Web Application Fire...
porJulio Cesar Stefanutto
 
PDF
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPTX
Aplicações Web ‐ Seu site está seguro?
porAlex Hübner
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PDF
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poribliss-seguranca
 
PDF
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poriBLISS Segurança & Inteligência
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PDF
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
PDF
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
PDF
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
Antar ferreira
porAntar Ferreira
 
PDF
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
PDF
Introdução ao OWASP
porCarlos Serrao
 
PPTX
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
PDF
(1) Por que Seguranca de Aplicacoes Web?
porKeySupport Consultoria e Informática Ltda
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
Utilizando Técnicas de OSINT para inutilizar Soluções de Web Application Fire...
porJulio Cesar Stefanutto
 
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Aplicações Web ‐ Seu site está seguro?
porAlex Hübner
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poribliss-seguranca
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poriBLISS Segurança & Inteligência
 
OWASP Top Ten 2004
porCarlos Serrao
 
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
Antar ferreira
porAntar Ferreira
 
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
Introdução ao OWASP
porCarlos Serrao
 
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
(1) Por que Seguranca de Aplicacoes Web?
porKeySupport Consultoria e Informática Ltda
 

Introducao WAF Tchelinux 2012

  • 1.
    Web Application Firewalls Jerônimo Zucco jeronimo.zucco@owasp.org
  • 2.
    About me • Blog:http://jczucco.blogspot.com • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • http://www.owasp.org/index.php/User:Jeronimo_Zucco
  • 3.
    Onde os dadosestão ?
  • 4.
  • 5.
    Onde estão as aplicações ?
  • 6.
  • 7.
    Fonte: WhiteHat WebsiteSecurity Statistics Report
  • 8.
    WAF ? Dispositivo (Camada7) especializado em aplicações Web
  • 9.
    Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
  • 10.
    Capacidade de detectar e bloquear ataques • Ataques Diretos • Ataques Indiretos • Modelo Positivo • Modelo Negativo • Modo de Aprendizagem
  • 11.
    Detecção • Inspeciona cabecalhoe o corpo da requisição • Inspeciona cabecalho e corpo da resposta • Inspeção de arquivos upload
  • 12.
    Violação de protocolo •Vulnerabilidades do protocolo • Tamanho das requisições • Caracteres não ASCII nos cabeçalhos • Validação de cabeçalhos • Tentativa de uso como proxy
  • 13.
    Políticas • Whitelists • Tamanhodo request/upload • Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG) • Extensão de arquivos
  • 14.
    Clientes Maliciosos • ComentáriosSPAM • Blacklists • Scanners • Negação de Serviço
  • 15.
    Ataques na Aplicação •SQL injection e blind SQL injection • Cross site scripting (XSS) • Injeção de comando no SO ou acesso remoto • Inclusão remota de arquivos maliciosos • Assinaturas de vulnerabilidades p/apps conhecidas • Detecção de malware em uploads ou links maliciosos
  • 16.
    Virtual Patching • Correcãode um erro da aplicação através de criação de regra no WAF • Correções rápidas • Zero Days • Aplicações fechadas • Custo para correção
  • 17.
    Vazamento de Informação • Última linha de defesa • Vazamento de informações (Nro. Cartão de crédito, CPF, etc) • Erros HTTP • Informações do Banco de Dados • Stack Dumps
  • 18.
    Debug • Detecção deerros na aplicação • Reprodução de eventos • Registro de eventos • Auxílio no debug de aplicação
  • 19.
    WAFs Comerciais • SecureSphere- Imperva • Hyperguard - Art of Defence • Barracuda Web Application Firewall • Cisco ACE Web Application Firewall
  • 20.
    WAFs Código Aberto •ModSecurity - Trustwave (Apache, IIS, Nginx) • WebKnight - Aqtronix (dll IIS) • IronBee - Qualys
  • 21.
    Conclusões • Porque nãocorrigir a aplicação ? • Impacto na performance • Falso positivos e negativos • WAF = Mais uma camada de proteção • WAFs não resolvem o problema
  • 22.
    DEMO • OWASP BrokenWeb Applications Project • ModSecurity + OWASP Core Rule Set • Browser :-)
  • 23.
    DEMO • Directory Traversal •Local File Inclusion • SQL Injection
  • 24.
    Referências • Web ApplicationFirewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO • Web Application Security Consortium - http://www.webappsec.org • OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw • OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z • OWASP Top 10 - http://is.gd/megfVH
  • 25.
    Referências • ModSecurity -http://www.modsecurity.org • OWASP Core Rule Set - http://is.gd/cjkuZ9 • OWASP Broken Web Applications Project - http://is.gd/9bDO5C • Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6 • LFI - Local File Inclusion - http://is.gd/g9gJb1 • SQL Injection - http://is.gd/hDqgZm
  • 26.
    Referências • Klaubert Herrda Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ • Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL • Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y • ModSecurity Handbook - Ivan Ristic
  • 27.
  • 28.