4.29M
Category: softwaresoftware

WAF для защиты web - приложений

1.

WAF Защита
otus.ru

2.

Тема вебинара
WAF для защиты web-приложений
Антон Лукашов
Vulnerability Management Analyst
Соц. сети @Iookatshow

3.

Маршрут занятия
WAF и с чем его едят
WAF в Enterprise
Известные WAF
ModSecuirty
Мониторинг и защита
приложения в боевой
среде
Итоги, Задание, Рефлексия

4.

Цель занятия
Поговорим о принципах работы WAF (open source, license)
Посмотрим на примере mod_security сработку правил на приложении

5.

WAF

6.

WAF
Анализирует веб трафик приложения (L7, L3, L4)
Основывается на сигнатурах/правилах, аномалиях, нейросетях и аналитике атак

7.

В чём отличие WAF от IPS?

8.

Как минимум:
● OWASP Top 10
● CWE
● Концентрации на HTTP

9.

WAF

10.

WAF интеграция
Мост/Маршрутизатор
Reverse прокси-сервер
Встроенный

11.

WAF защита
По модели защиты:
● Основанный на сигнатуре (Signature-based)
● Основанный на правилах (Rule-based)
По реакции на «плохой» запрос:
● «Очистка» опасных данных
● Блокировка запроса
● Блокировка источника атаки

12.

WAF в Enterprise

13.

WAF как усиление ИБ
Аналитика по аномалиям
Обогащение информацией об атаках или их развитие
Быстрая защита от уязвимостей (Virtual patching)
Защита от самих атак и DDoS (опционально)
Защита от Ботов
Защита от миссконфигов

14.

Защита WEB приложений

15.

Виды WAF
● Статический
● Динамический

16.

Проблемы WAF
Autoscale (не все обладают в рамках данной функции в рамках serverless, нужно
допиливать)
Миссконфигурациии
Уязвимости
False Positive (Который зачастую сказывается на работе сервиса и требует
долгой калибровке)
Защита от одной атаки может обусловить реализацию другой (Нужен баланс)

17.

WAF
WAF может содержать уязвимости.
Например:
Mod Secuirty неправильная обработка cookie header (DOS)
F5 WAF Path Traversal

18.

Bot protection
Замедление работы сайта
Взлом аккаунтов и кража банковских карт
Рекламный фрод
Кража контента
Парсинг в пользу конкурентов
Скальперские покупки
Искажённая аналитика

19.

Критерии для сравнения WAF
Критерий
Результат сравнения
Пропускная способность
Реакция на набор атак (практическое
тестирование, анализ False Positive/True
Positive)
Принцип лицензирования
Функционал балансировщика
Коннекторы с SIEM/VM/RASP/API
Specification
IPIP/Nodes/BandWidth и т.д

20.

Коммерческие WAF

21.

Open Source WAF

22.

Integrations

23.

ModSecuirty (WAF)

24.

ModSecuirty
Рассмотрим настройку WAF на примере
ModSecuirty
Псс, хороший гайд по настройке и сборке из исходников

25.

Mod security
Логи которые формирует mod_security
/var/log/nginx/error.log
/ver/log/modsec_audit.log

26.

OWASP Corerule Set
$ wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz

27.

WAF
Запустим на 8080 порту XVWA (Ссылка на репозиторий)
sudo docker run -d -p 8080:80 saurav7055/xvwa

28.

Cheat Sheets
Вспомогательные материалы для эксплуатации уязвимостей:
XSS(Гиперссылка)
SSTI(Гиперссылка)
XVWA(Гиперссылка)

29.

WAF
На попытки эксплуатации уязвимостей ModSecurity отбивает ошибкой 403:

30.

Вопрос: стоит ли рассматривать
другие ошибки в качестве реакции
WAF?

31.

WAF Bypass
Технологии нормализации
Использование новых техник эксплуатации уязвимостей в Web
- HTTP Parameter Pollution
- HTTP Parameter Fragmentation
- замена null-byte
- etc

32.

WAF Bypass techniques
Рассмотрим некоторые из них:
1)
2)
3)
4)
Подстановочные символы
Не инициированные переменные
Тип контента
Конкатенация и т.д

33.

Неиницированные символы

34.

Подстановочные символы

35.

Конкатенация

36.

Paranoia Level
Описание

37.

Paranoia Level

38.

WAF Bypass - PT Analysis
Много примеров

39.

Недостатки ModSecuirty
● Сложное администрирование большого набора правил
● Ресурсоемкость

40.

Детектировать WAF

41.

Вопросы?
Ставим “+”,
если вопросы есть
Ставим “–”,
если вопросов нет

42.

Домашнее задание
Эксплуатация уязвимостей и применение WAFправил
Срок выполнения: 7 дней

43.

Рефлексия

44.

Рефлексия
С какими основными мыслями
и инсайтами уходите с вебинара?
Как будете применять на практике то,
что узнали на вебинаре?
Восприятие: не показался ли материал
слишком простым или слишком
сложным?

45.

Итоги
Поговорили о:
WAF в enterprise
особенностях функционирования WAF
ModSecurity

46.

Заполните, пожалуйста,
опрос о занятии
по ссылке в чате

47.

Спасибо за внимание!
Приходите на следующие вебинары
Антон Лукашов
Vulnerability Management Analyst
Телефон + 7983-051-93-86
Эл. почта [email protected]
Соц. сети @Iookatshow
English     Русский Rules