SlideShare uma empresa Scribd logo

Introducao WAF Tchelinux 2012

Jeronimo Zucco, profile picture
Jeronimo Zucco

O documento discute a importância dos firewalls de aplicação web (WAFs) na proteção de aplicações contra diversos tipos de ataques, como SQL injection e XSS. Ele destaca o papel do ModSecurity como uma solução de código aberto, além de mencionar políticas de segurança, vulnerabilidades e a necessidade de uma camada extra de proteção. Referências e exemplos de implementações comerciais e open-source de WAFs são igualmente apresentados.

Tecnologia
1 de 28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Web Application Firewalls Jerônimo Zucco jeronimo.zucco@owasp.org
About me • Blog: http://jczucco.blogspot.com • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • http://www.owasp.org/index.php/User:Jeronimo_Zucco
Onde os dados estão ?
Quem acessa os dados ?
Onde estão as aplicações ?
O NOVO PERÍMETRO
Fonte: WhiteHat Website Security Statistics Report
WAF ? Dispositivo (Camada 7) especializado em aplicações Web
Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
Capacidade de detectar e bloquear ataques • Ataques Diretos • Ataques Indiretos • Modelo Positivo • Modelo Negativo • Modo de Aprendizagem
Detecção • Inspeciona cabecalho e o corpo da requisição • Inspeciona cabecalho e corpo da resposta • Inspeção de arquivos upload
Violação de protocolo • Vulnerabilidades do protocolo • Tamanho das requisições • Caracteres não ASCII nos cabeçalhos • Validação de cabeçalhos • Tentativa de uso como proxy
Políticas • Whitelists • Tamanho do request/upload • Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG) • Extensão de arquivos
Clientes Maliciosos • Comentários SPAM • Blacklists • Scanners • Negação de Serviço
Ataques na Aplicação • SQL injection e blind SQL injection • Cross site scripting (XSS) • Injeção de comando no SO ou acesso remoto • Inclusão remota de arquivos maliciosos • Assinaturas de vulnerabilidades p/apps conhecidas • Detecção de malware em uploads ou links maliciosos
Virtual Patching • Correcão de um erro da aplicação através de criação de regra no WAF • Correções rápidas • Zero Days • Aplicações fechadas • Custo para correção
Vazamento de Informação • Última linha de defesa • Vazamento de informações (Nro. Cartão de crédito, CPF, etc) • Erros HTTP • Informações do Banco de Dados • Stack Dumps
Debug • Detecção de erros na aplicação • Reprodução de eventos • Registro de eventos • Auxílio no debug de aplicação
WAFs Comerciais • SecureSphere - Imperva • Hyperguard - Art of Defence • Barracuda Web Application Firewall • Cisco ACE Web Application Firewall
WAFs Código Aberto • ModSecurity - Trustwave (Apache, IIS, Nginx) • WebKnight - Aqtronix (dll IIS) • IronBee - Qualys
Conclusões • Porque não corrigir a aplicação ? • Impacto na performance • Falso positivos e negativos • WAF = Mais uma camada de proteção • WAFs não resolvem o problema
DEMO • OWASP Broken Web Applications Project • ModSecurity + OWASP Core Rule Set • Browser :-)
DEMO • Directory Traversal • Local File Inclusion • SQL Injection
Referências • Web Application Firewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO • Web Application Security Consortium - http://www.webappsec.org • OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw • OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z • OWASP Top 10 - http://is.gd/megfVH
Referências • ModSecurity - http://www.modsecurity.org • OWASP Core Rule Set - http://is.gd/cjkuZ9 • OWASP Broken Web Applications Project - http://is.gd/9bDO5C • Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6 • LFI - Local File Inclusion - http://is.gd/g9gJb1 • SQL Injection - http://is.gd/hDqgZm
Referências • Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ • Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL • Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y • ModSecurity Handbook - Ivan Ristic
Perguntas ?
Obrigado ! jeronimo.zucco@owasp.org

Mais conteúdo relacionado

PDF
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
PDF
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
PDF
Validando a Segurança de Software
Jeronimo Zucco
 
PDF
Introducão a Web Applications Firewalls
Jeronimo Zucco
 
PDF
Segurança em desenvolvimento de software
Jeronimo Zucco
 
PPTX
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Patricia Ladislau Silva
 
PDF
Apresentação sobre Zabbix na iDEZ 2012
Aécio Pires
 
PPTX
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Patricia Ladislau Silva
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
Validando a Segurança de Software
Jeronimo Zucco
 
Introducão a Web Applications Firewalls
Jeronimo Zucco
 
Segurança em desenvolvimento de software
Jeronimo Zucco
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Patricia Ladislau Silva
 
Apresentação sobre Zabbix na iDEZ 2012
Aécio Pires
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Patricia Ladislau Silva
 

Mais procurados (20)

PDF
Segurança em aplicações web
COTIC-PROEG (UFPA)
 
PPTX
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
Zabbix BR
 
PPT
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
PPSX
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Zabbix BR
 
PDF
Monitorando ativos com Zabbix
Zabbix BR
 
PDF
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
PDF
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
Aécio Pires
 
PPTX
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Werneck Costa
 
ODP
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
aristotelesaraujo
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
PDF
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
PDF
Monitoramento de ativos com zabbix
Rafael Gomes
 
PPT
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
PPTX
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Zabbix BR
 
PDF
Monitoração avançada com Zabbix 2
Jose Augusto Carvalho
 
PPTX
Apresentacao zabbix
Daniel Peres
 
PPTX
Gerenciamento de Redes com Zabbix
André Déo
 
PDF
Monitoramento Opensource com Zabbix
Renato Batista
 
PDF
Projeto Zabbix: Conhecendo a ferramenta
Aécio Pires
 
PDF
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Segurança em aplicações web
COTIC-PROEG (UFPA)
 
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
Zabbix BR
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Zabbix BR
 
Monitorando ativos com Zabbix
Zabbix BR
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
Aécio Pires
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Werneck Costa
 
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
aristotelesaraujo
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Monitoramento de ativos com zabbix
Rafael Gomes
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Zabbix BR
 
Monitoração avançada com Zabbix 2
Jose Augusto Carvalho
 
Apresentacao zabbix
Daniel Peres
 
Gerenciamento de Redes com Zabbix
André Déo
 
Monitoramento Opensource com Zabbix
Renato Batista
 
Projeto Zabbix: Conhecendo a ferramenta
Aécio Pires
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Anúncio

Destaque (20)

PDF
Implementing ossec
Jeronimo Zucco
 
PDF
Owasp top 10 2013
Jeronimo Zucco
 
PPTX
Malware Detection with OSSEC HIDS - OSSECCON 2014
Santiago Bassett
 
PDF
Ossec Lightning
wremes
 
PPSX
What is firewall
Harshana Jayarathna
 
PDF
Fosdem10
wremes
 
PPTX
Securing Hadoop with OSSEC
Vic Hargrave
 
PDF
Aws security with HIDS, OSSEC
Mayank Gaikwad
 
PPTX
Solving the Open Source Security Puzzle
Vic Hargrave
 
PDF
Defense in Depth – Your Security Castle
Coastal Pet Products, Inc.
 
PPTX
Improve Threat Detection with OSSEC and AlienVault USM
AlienVault
 
PPTX
OSSIM Overview
n|u - The Open Security Community
 
PPTX
Ossec – host based intrusion detection system
Hai Dinh Tuan
 
PPTX
A NSA me segue (e a CIA também!)
Anchises Moraes
 
PPTX
Advanced OSSEC Training: Integration Strategies for Open Source Security
AlienVault
 
PPTX
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Santiago Bassett
 
PPT
1ª aula forense computacional
João Freire Abramowicz
 
PPTX
The Cyber Threat Intelligence Matrix
Frode Hommedal
 
PDF
Stop using Nagios (so it can die peacefully)
Andy Sykes
 
PPTX
Attack monitoring using ElasticSearch Logstash and Kibana
Prajal Kulkarni
 
Implementing ossec
Jeronimo Zucco
 
Owasp top 10 2013
Jeronimo Zucco
 
Malware Detection with OSSEC HIDS - OSSECCON 2014
Santiago Bassett
 
Ossec Lightning
wremes
 
What is firewall
Harshana Jayarathna
 
Fosdem10
wremes
 
Securing Hadoop with OSSEC
Vic Hargrave
 
Aws security with HIDS, OSSEC
Mayank Gaikwad
 
Solving the Open Source Security Puzzle
Vic Hargrave
 
Defense in Depth – Your Security Castle
Coastal Pet Products, Inc.
 
Improve Threat Detection with OSSEC and AlienVault USM
AlienVault
 
OSSIM Overview
n|u - The Open Security Community
 
Ossec – host based intrusion detection system
Hai Dinh Tuan
 
A NSA me segue (e a CIA também!)
Anchises Moraes
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
AlienVault
 
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Santiago Bassett
 
1ª aula forense computacional
João Freire Abramowicz
 
The Cyber Threat Intelligence Matrix
Frode Hommedal
 
Stop using Nagios (so it can die peacefully)
Andy Sykes
 
Attack monitoring using ElasticSearch Logstash and Kibana
Prajal Kulkarni
 
Anúncio

Semelhante a Introducao WAF Tchelinux 2012 (20)

PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
PDF
Utilizando Técnicas de OSINT para inutilizar Soluções de Web Application Fire...
Julio Cesar Stefanutto
 
PDF
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPTX
Aplicações Web ‐ Seu site está seguro?
Alex Hübner
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
PDF
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
ibliss-seguranca
 
PDF
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
iBLISS Segurança & Inteligência
 
PDF
OWASP Top Ten 2004
Carlos Serrao
 
PDF
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
PDF
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
PDF
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
Rafael Brinhosa
 
PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
PPT
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
PDF
Antar ferreira
Antar Ferreira
 
PDF
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
PDF
Introdução ao OWASP
Carlos Serrao
 
PPTX
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
PDF
(1) Por que Seguranca de Aplicacoes Web?
Eduardo Lanna
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Utilizando Técnicas de OSINT para inutilizar Soluções de Web Application Fire...
Julio Cesar Stefanutto
 
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Aplicações Web ‐ Seu site está seguro?
Alex Hübner
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
ibliss-seguranca
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
iBLISS Segurança & Inteligência
 
OWASP Top Ten 2004
Carlos Serrao
 
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
Rafael Brinhosa
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Antar ferreira
Antar Ferreira
 
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Introdução ao OWASP
Carlos Serrao
 
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
(1) Por que Seguranca de Aplicacoes Web?
Eduardo Lanna
 

Último (8)

PPTX
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 
PPTX
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
PDF
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
PPTX
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
PDF
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
PPTX
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
PPTX
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
PPTX
Mecânico de Manutenção de Equipamentos.pptx
Anderson Silva
 
Viasol Energia Solar -Soluções para geração e economia de energia
viasolaquecedoresmkt
 
Informática Aplicada Informática Aplicada Plano de Ensino - estudo de caso NR...
amylene1
 
Manejo integrado de pragas na cultura do algodão
EmanuelAmadeusSilvaS
 
Gestao-de-Bugs-em-Software-Introducao.pptxxxxxxxx
srvfrf
 
Termos utilizados na designação de relação entre pessoa e uma obra.pdf
FlaviaMonte3
 
Como-se-implementa-um-softwareeeeeeeeeeeeeeeeeeeeeeeee.pptx
srvfrf
 
Arquitetura de computadores - Memórias Secundárias
ErlnioFreire1
 
Mecânico de Manutenção de Equipamentos.pptx
Anderson Silva
 

Introducao WAF Tchelinux 2012

  • 1. Web Application Firewalls Jerônimo Zucco jeronimo.zucco@owasp.org
  • 2. About me • Blog: http://jczucco.blogspot.com • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • http://www.owasp.org/index.php/User:Jeronimo_Zucco
  • 3. Onde os dados estão ?
  • 4. Quem acessa os dados ?
  • 5. Onde estão as aplicações ?
  • 7. Fonte: WhiteHat Website Security Statistics Report
  • 8. WAF ? Dispositivo (Camada 7) especializado em aplicações Web
  • 9. Elementos de Segurança Fonte: Klaubert Herr da Silveira ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009
  • 10. Capacidade de detectar e bloquear ataques • Ataques Diretos • Ataques Indiretos • Modelo Positivo • Modelo Negativo • Modo de Aprendizagem
  • 11. Detecção • Inspeciona cabecalho e o corpo da requisição • Inspeciona cabecalho e corpo da resposta • Inspeção de arquivos upload
  • 12. Violação de protocolo • Vulnerabilidades do protocolo • Tamanho das requisições • Caracteres não ASCII nos cabeçalhos • Validação de cabeçalhos • Tentativa de uso como proxy
  • 13. Políticas • Whitelists • Tamanho do request/upload • Restrição de métodos (WebDAV, CONNECT, TRACE, DEBUG) • Extensão de arquivos
  • 14. Clientes Maliciosos • Comentários SPAM • Blacklists • Scanners • Negação de Serviço
  • 15. Ataques na Aplicação • SQL injection e blind SQL injection • Cross site scripting (XSS) • Injeção de comando no SO ou acesso remoto • Inclusão remota de arquivos maliciosos • Assinaturas de vulnerabilidades p/apps conhecidas • Detecção de malware em uploads ou links maliciosos
  • 16. Virtual Patching • Correcão de um erro da aplicação através de criação de regra no WAF • Correções rápidas • Zero Days • Aplicações fechadas • Custo para correção
  • 17. Vazamento de Informação • Última linha de defesa • Vazamento de informações (Nro. Cartão de crédito, CPF, etc) • Erros HTTP • Informações do Banco de Dados • Stack Dumps
  • 18. Debug • Detecção de erros na aplicação • Reprodução de eventos • Registro de eventos • Auxílio no debug de aplicação
  • 19. WAFs Comerciais • SecureSphere - Imperva • Hyperguard - Art of Defence • Barracuda Web Application Firewall • Cisco ACE Web Application Firewall
  • 20. WAFs Código Aberto • ModSecurity - Trustwave (Apache, IIS, Nginx) • WebKnight - Aqtronix (dll IIS) • IronBee - Qualys
  • 21. Conclusões • Porque não corrigir a aplicação ? • Impacto na performance • Falso positivos e negativos • WAF = Mais uma camada de proteção • WAFs não resolvem o problema
  • 22. DEMO • OWASP Broken Web Applications Project • ModSecurity + OWASP Core Rule Set • Browser :-)
  • 23. DEMO • Directory Traversal • Local File Inclusion • SQL Injection
  • 24. Referências • Web Application Firewall Evaluation Criteria (WAFEC) - http://is.gd/kYpTjO • Web Application Security Consortium - http://www.webappsec.org • OWASP Best Practices: Web Application Firewalls - http://is.gd/Uat2Lw • OWASP Securing WebGoat using ModSecurity - http://is.gd/imfq0z • OWASP Top 10 - http://is.gd/megfVH
  • 25. Referências • ModSecurity - http://www.modsecurity.org • OWASP Core Rule Set - http://is.gd/cjkuZ9 • OWASP Broken Web Applications Project - http://is.gd/9bDO5C • Testing for Path Traversal (OWASP-AZ-001) - http://is.gd/WWgzy6 • LFI - Local File Inclusion - http://is.gd/g9gJb1 • SQL Injection - http://is.gd/hDqgZm
  • 26. Referências • Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web - OWASP 2009 - http://is.gd/vRWdwJ • Breno Silva - ModSecurity Training - OWASP AppSec Latin America 2011 - http://is.gd/uvflAL • Ryan Barnett - ModSecurity as Universal Cross- platform Web Protection Tool - BlackHat 2012 - http://is.gd/9XvU3y • ModSecurity Handbook - Ivan Ristic