TIRE O MÁXIMO PROVEITO

DE SEU FIREWALL DE

APLICAÇÃOWillian A.Mayan

#whoami

Willian.A.Mayan AKA Pupilo

Bacharel em Ciência da Computação

Embaixador do projeto Fedora por 3 anos

Tradutor do projeto Fedora

Atualmente contribuo para o NAXSI rules

Palestrante

Análista de Segurança

Organizador do NullByte Security Conference

#service speak start

3

Quanto valem meu$ negocio$ ?

Web Application Firewall

Comprei minha caixinha e estou super seguro!!!

Entendendo minha aplicação

WAF – Como as coisas acontecem!

• Vetores de entrada

• Utilizando recursos do meu WAF

• Whitelist

• REGEX

Quanto valem meus negocio$ ?

4

Quanto valem meus negocio$ ?

5

O que aconteceria se

o botão do seu e-

commerce de

pagamento não

estivesse

funcionando?

Quanto valem meus negocio$ ?

6

Ou se um alto número de acessos em um determinado horário

bloqueasse todos os seus clientes?

Web Application Firewall

Quem são, para onde vão e porquê

meu site não funciona corretamente?

Web Application Firewall

8

Quadrant for Web Applications Firewalls

-Imperva

-F5

-Citrix

-Barracuda Networks

-Akamai

Referência:

Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf

Web Application Firewall

9

Web Application Firewall

10

Open Source

Comprei minha caixinha e

estou super seguro!!!

11

Não é bem assim….

12

Entendendo minha aplicação

Entendendo minha aplicação

14

Aplicações em constante atualizaçãoPessoas envolvidas:• Sysadmin• Desenvolvedor• DBA• Analista de segurança

Aplicações legadas• Aquele velho relógio de ponto• Esse é so um “sisteminha” para o estoque• A empresa não dá mais suporte para essa aplicação

Entendendo minha aplicação

15

Aplicação

Devel

Sysadmin

DBA

Security

Devel

Sysadmin

Reportar Novas FeaturesReportar NecessidadesEntregar vetores de entrada

Analisar demanda:-Versão do que foi solicitado-Impactos em atualizaçõesAtualização de patchs de correções

Security

DBA

Analisar vetores de entradasPentestConfiguração do WAF

Analisar impactos no SGBDAnalisar tempo das requisiçõesAtualização do SGBD

Entendendo minha aplicação

16

Aplicações em constante atualização

• Ciclo de atualização deve estar acordado entre os profissionaisenvolvidos

• Mapear vetores de entrada

• Pentest

• Manter-se informado sobre as tecnologias utilizadas

• Atualização constante de falhas de segurança e correções de bugs

• Monitorar ataques encontrados buscando as técnicas utilizadas paraprevenções futuras

• Correção de falhas de segurança

WAF – Como as coisas acontecem!

17

Requisições:

Exemplo recente

18

Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados.

“<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>”

Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.

Tested with MySQL versions 5.1.53 and 5.5.41.

Fonte: https://www.exploit-db.com/exploits/36844/

Exemplo recente

19

Exemplo recente

20

Vetores de entrada

21

Requisições GET, POST, PUT, etc…

• Consultas

• Upload

• Buscas

• Índices

Exemplos:

“/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00” – CVE: 2013-7091, 0Day zimbra

Utilizando recursos do meu WAF

22

WhiteList

BlackList

REGEX

DDOS

Monitoramento

Integração com LIDS e SIEM

…

Utilizando recursos do meu WAF

23

WhiteList VS BlackList

• Prós

• Liberar somente o que é necessário

• Facilidade de mitigar o ataque

• Contra

• A criação de regras pode ser complexa a depender do seu WAF

• Demanda tempo para testes

Utilizando recursos do meu WAF

24

O que é possível fazer com regex?

•Bloquear vetores de entrada

•Limitar valores de entrada

Observação importante

•REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendoutilizada.

Exemplo:

OBRIGADO!

Willian A.MayanEmail: willianmayan@ibliss.com.br