Похожие презентации:
Обеспечение безопасности критичных бизнес-приложений ООО «СолидЛаб»
Обеспечение безопасности критичных бизнес-приложений ООО «СолидЛаб»
AppSec - хакерский путь. Анализ защищённости приложений
AppSec - хакерский путь. Анализ защищённости приложений
Киберугрозы. Защита от киберугроз
Киберугрозы. Защита от киберугроз
Безопасность backend приложений
Безопасность backend приложений
Средства антивирусной защиты
Средства антивирусной защиты
Проектирование защищённых приложений (тема 6)
Проектирование защищённых приложений (тема 6)
Вредоносные программы и антивирусные программы. Компьютерные вирусы и защита от них
Вредоносные программы и антивирусные программы. Компьютерные вирусы и защита от них
Архитектура Web-приложений
Архитектура Web-приложений
Web-приложение «Ломбард»
Web-приложение «Ломбард»
Разработка web-приложений
Разработка web-приложений

WAF для защиты web - приложений

1.

WAF Защита
otus.ru

2.

Тема вебинара
WAF для защиты web-приложений
Антон Лукашов
Vulnerability Management Analyst
Соц. сети @Iookatshow

3.

Маршрут занятия
WAF и с чем его едят
WAF в Enterprise
Известные WAF
ModSecuirty
Мониторинг и защита
приложения в боевой
среде
Итоги, Задание, Рефлексия

4.

Цель занятия
Поговорим о принципах работы WAF (open source, license)
Посмотрим на примере mod_security сработку правил на приложении

5.

WAF

6.

WAF
Анализирует веб трафик приложения (L7, L3, L4)
Основывается на сигнатурах/правилах, аномалиях, нейросетях и аналитике атак

7.

В чём отличие WAF от IPS?

8.

Как минимум:
● OWASP Top 10
● CWE
● Концентрации на HTTP

9.

WAF

10.

WAF интеграция
Мост/Маршрутизатор
Reverse прокси-сервер
Встроенный

11.

WAF защита
По модели защиты:
● Основанный на сигнатуре (Signature-based)
● Основанный на правилах (Rule-based)
По реакции на «плохой» запрос:
● «Очистка» опасных данных
● Блокировка запроса
● Блокировка источника атаки

12.

WAF в Enterprise

13.

WAF как усиление ИБ
Аналитика по аномалиям
Обогащение информацией об атаках или их развитие
Быстрая защита от уязвимостей (Virtual patching)
Защита от самих атак и DDoS (опционально)
Защита от Ботов
Защита от миссконфигов

14.

Защита WEB приложений

15.

Виды WAF
● Статический
● Динамический

16.

Проблемы WAF
Autoscale (не все обладают в рамках данной функции в рамках serverless, нужно
допиливать)
Миссконфигурациии
Уязвимости
False Positive (Который зачастую сказывается на работе сервиса и требует
долгой калибровке)
Защита от одной атаки может обусловить реализацию другой (Нужен баланс)

17.

WAF
WAF может содержать уязвимости.
Например:
Mod Secuirty неправильная обработка cookie header (DOS)
F5 WAF Path Traversal

18.

Bot protection
Замедление работы сайта
Взлом аккаунтов и кража банковских карт
Рекламный фрод
Кража контента
Парсинг в пользу конкурентов
Скальперские покупки
Искажённая аналитика

19.

Критерии для сравнения WAF
Критерий
Результат сравнения
Пропускная способность
Реакция на набор атак (практическое
тестирование, анализ False Positive/True
Positive)
Принцип лицензирования
Функционал балансировщика
Коннекторы с SIEM/VM/RASP/API
Specification
IPIP/Nodes/BandWidth и т.д

20.

Коммерческие WAF

21.

Open Source WAF

22.

Integrations

23.

ModSecuirty (WAF)

24.

ModSecuirty
Рассмотрим настройку WAF на примере
ModSecuirty
Псс, хороший гайд по настройке и сборке из исходников

25.

Mod security
Логи которые формирует mod_security
/var/log/nginx/error.log
/ver/log/modsec_audit.log

26.

OWASP Corerule Set
$ wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz

27.

WAF
Запустим на 8080 порту XVWA (Ссылка на репозиторий)
sudo docker run -d -p 8080:80 saurav7055/xvwa

28.

Cheat Sheets
Вспомогательные материалы для эксплуатации уязвимостей:
XSS(Гиперссылка)
SSTI(Гиперссылка)
XVWA(Гиперссылка)

29.

WAF
На попытки эксплуатации уязвимостей ModSecurity отбивает ошибкой 403:

30.

Вопрос: стоит ли рассматривать
другие ошибки в качестве реакции
WAF?

31.

WAF Bypass
Технологии нормализации
Использование новых техник эксплуатации уязвимостей в Web
- HTTP Parameter Pollution
- HTTP Parameter Fragmentation
- замена null-byte
- etc

32.

WAF Bypass techniques
Рассмотрим некоторые из них:
1)
2)
3)
4)
Подстановочные символы
Не инициированные переменные
Тип контента
Конкатенация и т.д

33.

Неиницированные символы

34.

Подстановочные символы

35.

Конкатенация

36.

Paranoia Level
Описание

37.

Paranoia Level

38.

WAF Bypass - PT Analysis
Много примеров

39.

Недостатки ModSecuirty
● Сложное администрирование большого набора правил
● Ресурсоемкость

40.

Детектировать WAF

41.

Вопросы?
Ставим “+”,
если вопросы есть
Ставим “–”,
если вопросов нет

42.

Домашнее задание
Эксплуатация уязвимостей и применение WAFправил
Срок выполнения: 7 дней

43.

Рефлексия

44.

Рефлексия
С какими основными мыслями
и инсайтами уходите с вебинара?
Как будете применять на практике то,
что узнали на вебинаре?
Восприятие: не показался ли материал
слишком простым или слишком
сложным?

45.

Итоги
Поговорили о:
WAF в enterprise
особенностях функционирования WAF
ModSecurity

46.

Заполните, пожалуйста,
опрос о занятии
по ссылке в чате

47.

Спасибо за внимание!
Приходите на следующие вебинары
Антон Лукашов
Vulnerability Management Analyst
Телефон + 7983-051-93-86
Эл. почта [email protected]
Соц. сети @Iookatshow
English     Русский Правила