WAF для защиты web - приложений

Август 21, 2022

Главная
Информатика
WAF для защиты web - приложений

Содержание

2. WAF для защиты web-приложений Тема вебинара Антон Лукашов Vulnerability Management Analyst Соц. сети @Iookatshow
3. Маршрут занятия WAF и с чем его едят WAF в Enterprise Известные WAF ModSecuirty Мониторинг и
4. Цель занятия Поговорим о принципах работы WAF (open source, license) Посмотрим на примере mod_security сработку правил
5. WAF
6. WAF Анализирует веб трафик приложения (L7, L3, L4) Основывается на сигнатурах/правилах, аномалиях, нейросетях и аналитике атак
7. В чём отличие WAF от IPS?
8. Как минимум: OWASP Top 10 CWE Концентрации на HTTP
9. WAF
10. WAF интеграция Мост/Маршрутизатор Reverse прокси-сервер Встроенный
11. WAF защита По модели защиты: Основанный на сигнатуре (Signature-based) Основанный на правилах (Rule-based) По реакции на
12. WAF в Enterprise
13. WAF как усиление ИБ Аналитика по аномалиям Обогащение информацией об атаках или их развитие Быстрая защита
14. Защита WEB приложений
15. Виды WAF Статический Динамический
16. Проблемы WAF Autoscale (не все обладают в рамках данной функции в рамках serverless, нужно допиливать) Миссконфигурациии
17. WAF WAF может содержать уязвимости. Например: Mod Secuirty неправильная обработка cookie header (DOS) F5 WAF Path
18. Bot protection Замедление работы сайта Взлом аккаунтов и кража банковских карт Рекламный фрод Кража контента Парсинг
19. Критерии для сравнения WAF
20. Коммерческие WAF
21. Open Source WAF
22. Integrations
23. ModSecuirty (WAF)
24. ModSecuirty Рассмотрим настройку WAF на примере ModSecuirty Псс, хороший гайд по настройке и сборке из исходников
25. Mod security Логи которые формирует mod_security /var/log/nginx/error.log /ver/log/modsec_audit.log
26. OWASP Corerule Set $ wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz
27. WAF Запустим на 8080 порту XVWA (Ссылка на репозиторий) sudo docker run -d -p 8080:80 saurav7055/xvwa
28. Cheat Sheets Вспомогательные материалы для эксплуатации уязвимостей: XSS(Гиперссылка) SSTI(Гиперссылка) XVWA(Гиперссылка)
29. WAF На попытки эксплуатации уязвимостей ModSecurity отбивает ошибкой 403:
30. Вопрос: стоит ли рассматривать другие ошибки в качестве реакции WAF?
31. WAF Bypass Технологии нормализации • Использование новых техник эксплуатации уязвимостей в Web - HTTP Parameter Pollution
32. WAF Bypass techniques Рассмотрим некоторые из них: Подстановочные символы Не инициированные переменные Тип контента Конкатенация и
33. Неиницированные символы
34. Подстановочные символы
35. Конкатенация
36. Paranoia Level Описание
37. Paranoia Level
38. WAF Bypass - PT Analysis Много примеров
39. Недостатки ModSecuirty Сложное администрирование большого набора правил Ресурсоемкость
40. Детектировать WAF
41. Вопросы? Ставим “+”, если вопросы есть Ставим “–”, если вопросов нет
42. Домашнее задание Эксплуатация уязвимостей и применение WAF-правил Срок выполнения: 7 дней
43. Рефлексия
44. Рефлексия С какими основными мыслями и инсайтами уходите с вебинара? Как будете применять на практике то,
45. Итоги Поговорили о: WAF в enterprise особенностях функционирования WAF ModSecurity
46. Заполните, пожалуйста, опрос о занятии по ссылке в чате
48. Скачать презентацию

Слайд 2

WAF для защиты web-приложений
Тема вебинара
Антон Лукашов
Vulnerability Management Analyst
Соц. сети @Iookatshow

Слайд 3

Маршрут занятия
WAF и с чем его едят
WAF в Enterprise
Известные WAF
ModSecuirty
Мониторинг и

защита приложения в боевой среде

Итоги, Задание, Рефлексия

Слайд 4

Цель занятия
Поговорим о принципах работы WAF (open source, license)
Посмотрим на примере

mod_security сработку правил на приложении

Слайд 5

WAF

Слайд 6

WAF
Анализирует веб трафик приложения (L7, L3, L4)
Основывается на сигнатурах/правилах, аномалиях, нейросетях

и аналитике атак

Слайд 7

В чём отличие WAF от IPS?

Слайд 8

Как минимум:
OWASP Top 10
CWE
Концентрации на HTTP

Слайд 9

WAF

Слайд 10

WAF интеграция
Мост/Маршрутизатор
Reverse прокси-сервер
Встроенный

Слайд 11

WAF защита
По модели защиты:
Основанный на сигнатуре (Signature-based)
Основанный на правилах (Rule-based)

По реакции на «плохой» запрос:
«Очистка» опасных данных
Блокировка запроса
Блокировка источника атаки

Слайд 12

WAF в Enterprise

Слайд 13

WAF как усиление ИБ
Аналитика по аномалиям
Обогащение информацией об атаках или их

развитие
Быстрая защита от уязвимостей (Virtual patching)
Защита от самих атак и DDoS (опционально)
Защита от Ботов
Защита от миссконфигов

Слайд 14

Защита WEB приложений

Слайд 15

Виды WAF
Статический
Динамический

Слайд 16

Проблемы WAF
Autoscale (не все обладают в рамках данной функции в рамках

serverless, нужно допиливать)
Миссконфигурациии
Уязвимости
False Positive (Который зачастую сказывается на работе сервиса и требует долгой калибровке)
Защита от одной атаки может обусловить реализацию другой (Нужен баланс)

Слайд 17

WAF
WAF может содержать уязвимости. Например:
Mod Secuirty неправильная обработка cookie header (DOS)
F5

WAF Path Traversal

Слайд 18

Bot protection
Замедление работы сайта
Взлом аккаунтов и кража банковских карт
Рекламный фрод
Кража контента
Парсинг

в пользу конкурентов
Скальперские покупки
Искажённая аналитика
Упущенные продажи

Слайд 19

Критерии для сравнения WAF

Слайд 20

Коммерческие WAF

Слайд 21

Open Source WAF

Слайд 22

Integrations

Слайд 23

ModSecuirty (WAF)

Слайд 24

ModSecuirty
Рассмотрим настройку WAF на примере ModSecuirty
Псс, хороший гайд по настройке и

сборке из исходников

Слайд 25

Mod security
Логи которые формирует mod_security
/var/log/nginx/error.log
/ver/log/modsec_audit.log

Слайд 26

OWASP Corerule Set
$ wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz

Слайд 27

WAF
Запустим на 8080 порту XVWA (Ссылка на репозиторий)
sudo docker run

-d -p 8080:80 saurav7055/xvwa

Слайд 28

Cheat Sheets
Вспомогательные материалы для эксплуатации уязвимостей:
XSS(Гиперссылка)
SSTI(Гиперссылка)
XVWA(Гиперссылка)

Слайд 29

WAF
На попытки эксплуатации уязвимостей ModSecurity отбивает ошибкой 403:

Слайд 30

Вопрос: стоит ли рассматривать другие ошибки в качестве реакции WAF?

Слайд 31

WAF Bypass
Технологии нормализации •
Использование новых техник эксплуатации уязвимостей в Web
-

HTTP Parameter Pollution
- HTTP Parameter Fragmentation
- замена null-byte
- etc

Слайд 32

WAF Bypass techniques
Рассмотрим некоторые из них:
Подстановочные символы
Не инициированные переменные
Тип контента
Конкатенация и

т.д

Слайд 33

Неиницированные символы

Слайд 34

Подстановочные символы

Слайд 35

Конкатенация

Слайд 36

Paranoia Level
Описание

Слайд 37

Paranoia Level

Слайд 38

WAF Bypass - PT Analysis
Много примеров

Слайд 39

Недостатки ModSecuirty
Сложное администрирование большого набора правил
Ресурсоемкость

Слайд 40

Детектировать WAF

Слайд 41

Вопросы?
Ставим “+”,
если вопросы есть
Ставим “–”,
если вопросов нет

Слайд 42

Домашнее задание
Эксплуатация уязвимостей и применение WAF-правил
Срок выполнения: 7 дней

Слайд 43

Рефлексия

Слайд 44

Рефлексия
С какими основными мыслями
и инсайтами уходите с вебинара?
Как будете применять на

практике то,
что узнали на вебинаре?

Восприятие: не показался ли материал слишком простым или слишком сложным?

Слайд 45

Итоги
Поговорили о:
WAF в enterprise
особенностях функционирования WAF
ModSecurity

Слайд 46

Заполните, пожалуйста,
опрос о занятии
по ссылке в чате