Post on 19-Feb-2017
TIRE O MÁXIMO PROVEITO
DE SEU FIREWALL DE
APLICAÇÃOWillian A.Mayan
#whoami
Willian.A.Mayan AKA Pupilo
Bacharel em Ciência da Computação
Embaixador do projeto Fedora por 3 anos
Tradutor do projeto Fedora
Atualmente contribuo para o NAXSI rules
Palestrante
Análista de Segurança
Organizador do NullByte Security Conference
#service speak start
3
Quanto valem meu$ negocio$ ?
Web Application Firewall
Comprei minha caixinha e estou super seguro!!!
Entendendo minha aplicação
WAF – Como as coisas acontecem!
• Vetores de entrada
• Utilizando recursos do meu WAF
• Whitelist
• REGEX
Quanto valem meus negocio$ ?
4
Quanto valem meus negocio$ ?
5
O que aconteceria se
o botão do seu e-
commerce de
pagamento não
estivesse
funcionando?
Quanto valem meus negocio$ ?
6
Ou se um alto número de acessos em um determinado horário
bloqueasse todos os seus clientes?
Web Application Firewall
Quem são, para onde vão e porquê
meu site não funciona corretamente?
Web Application Firewall
8
Quadrant for Web Applications Firewalls
-Imperva
-F5
-Citrix
-Barracuda Networks
-Akamai
Referência:
Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
Web Application Firewall
9
Web Application Firewall
10
Open Source
Comprei minha caixinha e
estou super seguro!!!
11
Não é bem assim….
12
Entendendo minha aplicação
Entendendo minha aplicação
14
Aplicações em constante atualizaçãoPessoas envolvidas:• Sysadmin• Desenvolvedor• DBA• Analista de segurança
Aplicações legadas• Aquele velho relógio de ponto• Esse é so um “sisteminha” para o estoque• A empresa não dá mais suporte para essa aplicação
Entendendo minha aplicação
15
Aplicação
Devel
Sysadmin
DBA
Security
Devel
Sysadmin
Reportar Novas FeaturesReportar NecessidadesEntregar vetores de entrada
Analisar demanda:-Versão do que foi solicitado-Impactos em atualizaçõesAtualização de patchs de correções
Security
DBA
Analisar vetores de entradasPentestConfiguração do WAF
Analisar impactos no SGBDAnalisar tempo das requisiçõesAtualização do SGBD
Entendendo minha aplicação
16
Aplicações em constante atualização
• Ciclo de atualização deve estar acordado entre os profissionaisenvolvidos
• Mapear vetores de entrada
• Pentest
• Manter-se informado sobre as tecnologias utilizadas
• Atualização constante de falhas de segurança e correções de bugs
• Monitorar ataques encontrados buscando as técnicas utilizadas paraprevenções futuras
• Correção de falhas de segurança
WAF – Como as coisas acontecem!
17
Requisições:
Exemplo recente
18
Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados.
“<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>”
Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.
Fonte: https://www.exploit-db.com/exploits/36844/
Exemplo recente
19
Exemplo recente
20
Vetores de entrada
21
Requisições GET, POST, PUT, etc…
• Consultas
• Upload
• Buscas
• Índices
Exemplos:
“/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
Utilizando recursos do meu WAF
22
WhiteList
BlackList
REGEX
DDOS
Monitoramento
Integração com LIDS e SIEM
…
Utilizando recursos do meu WAF
23
WhiteList VS BlackList
• Prós
• Liberar somente o que é necessário
• Facilidade de mitigar o ataque
• Contra
• A criação de regras pode ser complexa a depender do seu WAF
• Demanda tempo para testes
Utilizando recursos do meu WAF
24
O que é possível fazer com regex?
•Bloquear vetores de entrada
•Limitar valores de entrada
Observação importante
•REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendoutilizada.
Exemplo:
OBRIGADO!
Willian A.MayanEmail: willianmayan@ibliss.com.br