SlideShare uma empresa Scribd logo

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

I
ibliss-seguranca

Comprei um firewall de aplicação e agora? Modelamos e configuramos com base nas necessidades dos negócios da empresa? Estamos nos protegendo corretamente? Entendemos nossas aplicações? Gargalos, bloqueios indevidos, clientes insatisfeitos. E agora? Tiramos a aplicação do firewall? Nesta palestra convido você a conhecer como elaborar um projeto para colocar sua aplicação protegida com seu firewall de aplicação tendo em vista os mínimos impactos ao negócio. Existem várias soluções no mercado de firewall de aplicações web, porém é importante entender o funcionamento de seu negócio, para assim buscar a tecnologia correta que melhor o atenda.

Tecnologia
1 de 25
Baixar para ler offline
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
#whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
#service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
Quanto valem meus negocio$ ? 4
Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
Web Application Firewall 9
Web Application Firewall 10 Open Source
Comprei minha caixinha e estou super seguro!!! 11
Não é bem assim…. 12
Entendendo minha aplicação
Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
WAF – Como as coisas acontecem! 17 Requisições:
Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
Exemplo recente 19
Exemplo recente 20
Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo:
OBRIGADO! Willian A.Mayan Email: willianmayan@ibliss.com.br

Recomendados

#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps
Jaqueline Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
Er Galvão Abbott
 
Comparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastComparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x Avast
Central Info
 
Europa de noite
Europa de noite Europa de noite
Europa de noite
João Couto
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
Jeronimo Zucco
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 

Recomendados

#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps#VSSUMMIT2019 - Estratégias de DevSecOps
#VSSUMMIT2019 - Estratégias de DevSecOps
Jaqueline Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
Er Galvão Abbott
 
Comparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x AvastComparativo Kaspersky Lab x Avast
Comparativo Kaspersky Lab x Avast
Central Info
 
Europa de noite
Europa de noite Europa de noite
Europa de noite
João Couto
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
Jeronimo Zucco
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
Alexandre Almeida
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Erick Belluci Tedeschi
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
E-Commerce Brasil
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
Kemp
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
Amazon Web Services LATAM
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 

Mais conteúdo relacionado

Semelhante a TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
Alexandre Almeida
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Erick Belluci Tedeschi
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
E-Commerce Brasil
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
Kemp
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
Amazon Web Services LATAM
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 

Semelhante a TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan (20)

E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 

Último

Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 

Último (8)

Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 

TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan

  • 1. TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO Willian A.Mayan
  • 2. #whoami Willian.A.Mayan AKA Pupilo Bacharel em Ciência da Computação Embaixador do projeto Fedora por 3 anos Tradutor do projeto Fedora Atualmente contribuo para o NAXSI rules Palestrante Análista de Segurança Organizador do NullByte Security Conference
  • 3. #service speak start 3 Quanto valem meu$ negocio$ ? Web Application Firewall Comprei minha caixinha e estou super seguro!!! Entendendo minha aplicação WAF – Como as coisas acontecem! • Vetores de entrada • Utilizando recursos do meu WAF • Whitelist • REGEX
  • 4. Quanto valem meus negocio$ ? 4
  • 5. Quanto valem meus negocio$ ? 5 O que aconteceria se o botão do seu e- commerce de pagamento não estivesse funcionando?
  • 6. Quanto valem meus negocio$ ? 6 Ou se um alto número de acessos em um determinado horário bloqueasse todos os seus clientes?
  • 7. Web Application Firewall Quem são, para onde vão e porquê meu site não funciona corretamente?
  • 8. Web Application Firewall 8 Quadrant for Web Applications Firewalls -Imperva -F5 -Citrix -Barracuda Networks -Akamai Referência: Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
  • 11. Comprei minha caixinha e estou super seguro!!! 11
  • 12. Não é bem assim…. 12
  • 14. Entendendo minha aplicação 14 Aplicações em constante atualização Pessoas envolvidas: • Sysadmin • Desenvolvedor • DBA • Analista de segurança Aplicações legadas • Aquele velho relógio de ponto • Esse é so um “sisteminha” para o estoque • A empresa não dá mais suporte para essa aplicação
  • 15. Entendendo minha aplicação 15 Aplicação Devel Sysadmin DBA Security Devel Sysadmin Reportar Novas Features Reportar Necessidades Entregar vetores de entrada Analisar demanda: -Versão do que foi solicitado -Impactos em atualizações Atualização de patchs de correções Security DBA Analisar vetores de entradas Pentest Configuração do WAF Analisar impactos no SGBD Analisar tempo das requisições Atualização do SGBD
  • 16. Entendendo minha aplicação 16 Aplicações em constante atualização • Ciclo de atualização deve estar acordado entre os profissionais envolvidos • Mapear vetores de entrada • Pentest • Manter-se informado sobre as tecnologias utilizadas • Atualização constante de falhas de segurança e correções de bugs • Monitorar ataques encontrados buscando as técnicas utilizadas para prevenções futuras • Correção de falhas de segurança
  • 17. WAF – Como as coisas acontecem! 17 Requisições:
  • 18. Exemplo recente 18 Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados. “<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAA AAA...[64 kb]..AAA'></a>” Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. Tested with MySQL versions 5.1.53 and 5.5.41. Fonte: https://www.exploit-db.com/exploits/36844/
  • 21. Vetores de entrada 21 Requisições GET, POST, PUT, etc… • Consultas • Upload • Buscas • Índices Exemplos: “/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20Templa teMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/l ocalconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
  • 22. Utilizando recursos do meu WAF 22 WhiteList BlackList REGEX DDOS Monitoramento Integração com LIDS e SIEM …
  • 23. Utilizando recursos do meu WAF 23 WhiteList VS BlackList • Prós • Liberar somente o que é necessário • Facilidade de mitigar o ataque • Contra • A criação de regras pode ser complexa a depender do seu WAF • Demanda tempo para testes
  • 24. Utilizando recursos do meu WAF 24 O que é possível fazer com regex? •Bloquear vetores de entrada •Limitar valores de entrada Observação importante •REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendo utilizada. Exemplo: