SlideShare uma empresa Scribd logo
TIRE O MÁXIMO PROVEITO
DE SEU FIREWALL DE
APLICAÇÃO
Willian A.Mayan
#whoami
Willian.A.Mayan AKA Pupilo
Bacharel em Ciência da Computação
Embaixador do projeto Fedora por 3 anos
Tradutor do projeto Fedora
Atualmente contribuo para o NAXSI rules
Palestrante
Análista de Segurança
Organizador do NullByte Security Conference
#service speak start
3
Quanto valem meu$ negocio$ ?
Web Application Firewall
Comprei minha caixinha e estou super seguro!!!
Entendendo minha aplicação
WAF – Como as coisas acontecem!
• Vetores de entrada
• Utilizando recursos do meu WAF
• Whitelist
• REGEX
Quanto valem meus negocio$ ?
4
Quanto valem meus negocio$ ?
5
O que aconteceria se
o botão do seu e-
commerce de
pagamento não
estivesse
funcionando?
Quanto valem meus negocio$ ?
6
Ou se um alto número de acessos em um determinado horário
bloqueasse todos os seus clientes?
Web Application Firewall
Quem são, para onde vão e porquê
meu site não funciona corretamente?
Web Application Firewall
8
Quadrant for Web Applications Firewalls
-Imperva
-F5
-Citrix
-Barracuda Networks
-Akamai
Referência:
Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
Web Application Firewall
9
Web Application Firewall
10
Open Source
Comprei minha caixinha e
estou super seguro!!!
11
Não é bem assim….
12
Entendendo minha aplicação
Entendendo minha aplicação
14
Aplicações em constante atualização
Pessoas envolvidas:
• Sysadmin
• Desenvolvedor
• DBA
• Analista de segurança
Aplicações legadas
• Aquele velho relógio de ponto
• Esse é so um “sisteminha” para o estoque
• A empresa não dá mais suporte para essa aplicação
Entendendo minha aplicação
15
Aplicação
Devel
Sysadmin
DBA
Security
Devel
Sysadmin
Reportar Novas Features
Reportar Necessidades
Entregar vetores de entrada
Analisar demanda:
-Versão do que foi solicitado
-Impactos em atualizações
Atualização de patchs de
correções
Security
DBA
Analisar vetores de entradas
Pentest
Configuração do WAF
Analisar impactos no SGBD
Analisar tempo das
requisições
Atualização do SGBD
Entendendo minha aplicação
16
Aplicações em constante atualização
• Ciclo de atualização deve estar acordado entre os profissionais
envolvidos
• Mapear vetores de entrada
• Pentest
• Manter-se informado sobre as tecnologias utilizadas
• Atualização constante de falhas de segurança e correções de bugs
• Monitorar ataques encontrados buscando as técnicas utilizadas para
prevenções futuras
• Correção de falhas de segurança
WAF – Como as coisas acontecem!
17
Requisições:
Exemplo recente
18
Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de
atualização do banco de dados.
“<a title='x onmouseover=alert(unescape(/hello%20world/.source))
style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA
AAA...[64 kb]..AAA'></a>”
Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.
Fonte: https://www.exploit-db.com/exploits/36844/
Exemplo recente
19
Exemplo recente
20
Vetores de entrada
21
Requisições GET, POST, PUT, etc…
• Consultas
• Upload
• Buscas
• Índices
Exemplos:
“/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa
teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l
ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
Utilizando recursos do meu WAF
22
WhiteList
BlackList
REGEX
DDOS
Monitoramento
Integração com LIDS e SIEM
…
Utilizando recursos do meu WAF
23
WhiteList VS BlackList
• Prós
• Liberar somente o que é necessário
• Facilidade de mitigar o ataque
• Contra
• A criação de regras pode ser complexa a depender do seu WAF
• Demanda tempo para testes
Utilizando recursos do meu WAF
24
O que é possível fazer com regex?
•Bloquear vetores de entrada
•Limitar valores de entrada
Observação importante
•REGEX não são iguais para todas as linguagens,
verifique a sintaxe da tecnologia que está sendo
utilizada.
Exemplo:
OBRIGADO!
Willian A.Mayan
Email: willianmayan@ibliss.com.br

Mais conteúdo relacionado

Semelhante a TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
Alexandre Almeida
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Erick Belluci Tedeschi
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
E-Commerce Brasil
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
Kemp
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
Amazon Web Services LATAM
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 

Semelhante a TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan (20)

E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

  • 1. TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
  • 2. #whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
  • 3. #service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
  • 4. Quanto valem meus negocio$ ? 4
  • 5. Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
  • 6. Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
  • 7. Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
  • 8. Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
  • 11. Comprei minha caixinha e estou super seguro!!! 11
  • 12. Não é bem assim…. 12
  • 14. Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
  • 15. Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
  • 16. Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
  • 17. WAF – Como as coisas acontecem! 17 Requisições:
  • 18. Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
  • 21. Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
  • 22. Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
  • 23. Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
  • 24. Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo: