project in computer security
DESCRIPTION
Project in Computer Security. Expanding Web Application Firewall Testing Framework Supervisor : Amichai Shulman Students : Gil Ovadia & Shooki Matzliah. Introduction. - PowerPoint PPT PresentationTRANSCRIPT
Project in Computer SecurityExpanding Web Application Firewall Testing Framework
Supervisor: Amichai ShulmanStudents: Gil Ovadia & Shooki Matzliah
Introduction•Web Application Firewall (WAF) היעילה המידע אבטחת טכנולוגיית הן
. להפעיל מסוגלים הם שכן התקפות מפני אינטרנט יישומי על להגנה ביותר. שונים מסוגים התקפות של וחסימה הרצה בזמן זיהוי
•WAF , . הקיימים הבדיקה כלי זאת עם פעם מאי יותר נפוצים להיות הופכיםידי על זוהתה שלא הזדונית התעבורה כמות את עוסקת WAFמודדים ואינה
. כזדונית בטעות שהתגלתה הלגיטימית התעבורה כמות במדידת
•(WAF Testing Framework, A.K.A WTF)- ל בדיקות תוכנת הגנה - WAFקיימת של ההיבטים שני את בחשבון שלוקחת
. זדונית תנועה ולגלות לגיטימית תנועה לאפשרההתקפות את גם שמייצגים תצורה קבצי של וקבוצה מכלי מורכבת המסגרת , . באמצעות יישומים לשרת רשת תעבורת מספק הכלי לגיטימית תעבורה של
WAF . של, התוצאה את מודד מכן לאחר הכלי התצורה מקבצי הוראות לפי , .) לבסוף ) לאפשר או לחסום הצפויות לתוצאות ומשווה בנפרד בקשה כל
- ה מתנהג כיצד המראים מפורטים דוחות לייצר מסוגל תצורת WAFהכלי נגדהבדיקה.
• : התבססנו עליהם התקיפות .RFI, SQLi, XSSסוגי
Evasion•Virtual Patching- ה: שבו לפרצות WAFתהליך כתיקון משמש
קוד בעריכת הצורך מבלי באפליקציה שקיימות אבטחה: שלבים. בשני מתבצע זה תהליך האפליקציה
•Activation- ה: בו לנקודה WAFהשלב מיועד המידע שרצף מזהה . תקיפה נסיונות ולזרוק המידע את לנתח ועליו באפליקציה רגישה
- ה של חולשה נקודת -WAFזוהי ה שאם שעליו WAFמשום מזהה לא- ה ) שדה כי למשל מסוימת בקשה עבור מתאים Pathלפעול לא
" " ,) התקפות זו בקשה על להלביש נוכל עבורו שהוגדרו לחוקיםכרצוננו.
•Verification- ה: שלאחר השלב -Activationזהו ה, קיבל WAFבולגלות מנת על שנשלחה הבקשה את ולנתח לפעול שעליו החלטה
- . ה התנהגות בהם מקומות לנצל ניתן כאן תקיפה לא WAFדפוסיהתוכנית ) התנהגות את בדיוק (, Impedance Mismatchתואמת
, מנת על שנשלחה הבקשה תוכן את במקצת לזהם לעיתים ניתן- ה מכללי אנו, WAFלהתחמק אותו ההתקפה בתוכן לפגוע מבלי
. להעביר מנסים
Goals and Objectives
- ה עבור אוטומטי באופן קונפיגורציה קבצי WAF TestingיצירתFramework. סטנדרטי בפורמט רשת תעבורת לכידת על המבוססים
- ל חדשות בדיקות -WTFהוספת ה של התמודדות בדיקת WAFלצורךטכניקות - לאחרונה שפורסמו חולשות " Evasionעם מאמרו י עפ
Ivan Ristikשל
בדיקת ) לגיטימית תעבורה (.false positiveהוספת
1
2
3
Toolsבשפת • כתובה הבדיקות בסביבת, Javaמערכת IntelliJהשתמשנו
IDEA
עליה - WebGoatאפליקציית • מוגנת בלתי דמה אפליקציית זוהי . נחשבת זו אפליקציה על התקפה כל ההתקפות כל את ביצענו
התנהגות, את לבודד היה ניתן ומכאן אשר WAFכמוצלחת מסוים. זו אפליקציה מעל רץ
•Imperva WTF - לבדיקת ' WAFהכלי בחב , Impervaשפותח. מרחיבים אנו אותו
•Snort - זהוWAF האפליקציה שרת לבין הלקוח בין הקמנו אשר- כ אותנו שימש .WAFואשר הבדיקות מערכת את הרצנו שעליו
Tools•Mod Security - זהוWAF שרת לבין הלקוח בין הקמנו אשר נוסף
. פתוח, קוד בעל האפליקציה
•XML - מערכת של קונפיגורציה לצורך הנתונים העברת צורתמריץ. אותם והתרחישים התקיפות מתוכנתות בו האופן זהו הבדיקות
. WTFה- ההתחמקות טכניקות את מימשנו האפליקציה על. זה מסוג קונפיגורציה קבצי באמצעות
•Charles Proxy - ותגובות בקשות תפיסת המאפשר כלי HTTPזהו . שליחתן בעת בקשות לשנות ניתן באמצעותו ברשת שעוברות . נסיונות לשחזר מנת על בו השתמשנו רשת תעבורת ולהקליט
. רשת תעבורת ולהקליט התקפה
Working Processללא ) • סטנדרטיות תקיפות :ModSecurityבנוכחות( Evasionהרצת
Working Processללא ) • סטנדרטיות תקיפות ללא Snortבנוכחות( Evasionהרצת
כלל :Paranoidהפעלת
Working Processללא ) • סטנדרטיות תקיפות כאשר Snortבנוכחות( Evasionהרצת
:Paranoidכלל מופעל
Working Processתקיפות • :Snortעל RFIהרצת
Working Processתקיפות • :Snortעל SQLiהרצת
Working Processתקיפות • :ModSecurityעל SQLiהרצת
Working Processתקיפות • :Snortעל XSSהרצת
Working Processתקיפות • :ModSecurityעל XSSהרצת
Conclusionsטכניקות • ללא - Evasionגם זמנית, ובו תקיפות למנוע נוכל לא
ההגנה Trade-offיש. False-Positive 0%ליצור רמת בין מסוים. שתחסם הלגיטימית התעבורה לכמות
•- ה את לעבור הצליחו שיישמנו הטכניקות עליהם Firewallsמרבית " אפליקציה – כל ולתקוף ל הנ הטכניקות את ליישם ניתן בדקנו
. גבוהים הצלחה באחוזי כיום מוגנת
כגון – • בפרמטרים שימוש המבצעות תקיפות אשר SQLiעבור , לבצע יותר קשה קלט בשדות בשלב Evasionמשתמשת
.Verificationה-
•- ל הנוגע בתוכה, WAF Testingבכל כוללת אינה אשר בדיקה.Evasionטכניקות מספקת תהיה לא
Thanks !