SlideShare a Scribd company logo

Web Application Firewalls / Иван Новиков (ONsec)

Ontico
Ontico
1 of 26
Download to read offline
HOWTO:  Web  Applica/on   Firewalls   Проблематика  и  обзор   решений Иван  Новиков понедельник, 22 апреля 13 г.
Что  такое? • WAF  -­‐  Web  Applica/on  Firewall • Средства  обнаружения  и  блокировки  атак   на  веб-­‐приложения • Атаки  на  приложение  -­‐  эксплуатация   ошибок  с  целью  получения  НСД • АТАКА  !=  УЯЗВИМОСТЬ понедельник, 22 апреля 13 г.
Кто  атакует? • Автоматические  сканеры  из  бот-­‐сетей • Школьники  (script-­‐kiddies) • Злоумышленники  (сбор  бот-­‐сетей,   перепродажа  трафика) • «Киллеры»  на  заказ • Аудиторы-­‐«антикиллеры»  на  заказ  от  вас понедельник, 22 апреля 13 г.
Как  атакуют? • Уязвимости  движков  и  компонент – WordPress  (/mthumb) – PhpMyAdmin  (unserialize) – TinyMCE  (file  upload) – JQuery  (DOM-­‐based  XSS) понедельник, 22 апреля 13 г.
Как  атакуют? • Уязвимости  веб-­‐приложений • XSS • SQL  injec/on • Local  File  Inclusion  (LFI/RFI) • ... понедельник, 22 апреля 13 г.
Что  делать? • Не  закрывать  глаза • Не  бояться • Разбираться  в  проблеме • Понимать  методы  борьбы  и  решения • Применять  их понедельник, 22 апреля 13 г.
Как  бороться? • Блокировать  атаки  с  помощью  WAF • Проверять  атаки  на  предмет  реального   наличия  уязвимостей • Выявлять  уязвимости • Устранять  уязвимости • Не  допускать  аналогичных  в  дальнейшем понедельник, 22 апреля 13 г.
Как  работает  WAF? • Пропустить  все  запросы  через  себя • Анализировать  содержимое  запрос • Блокировать  запрос  при  наличии  атаки • Пропустить  запрос  на  бэкэнд,  если  атака  не   обнаружена понедельник, 22 апреля 13 г.
Как  работает  Web  App  Firewall? Сервер приложений WAF Клиент HTTP запрос Хакер вектор атаки понедельник, 22 апреля 13 г.
Как  ошибается  WAF? Сервер приложений WAF Клиент HTTP запрос Хакер вектор атаки Пропуск хакера Блок клиента понедельник, 22 апреля 13 г.
Мифы  о  WAF • WAF  блокирует  уязвимости! • Есть  WAF  =>  Firewall  не  нужен! • Есть  Firewall  =>  WAF  не  нужен! • WAF  защищает  все  мои  сервисы:   почту,  базу,  LDAP • Приложение  нельзя  взломать  через   WAF • Приложение  все-­‐равно  взломают,   WAF  не  нужен! понедельник, 22 апреля 13 г.
Мифы  о  WAF • Можно  настроить  WAF,  чтобы  он  вообще   НИКОГДА  не  ошибался • WAF  никак  не  скажется  на   производительности  фронтэндов • WAF  можно  не  настраивать,  «для   начала»  поставим  как  есть,  а  там   посмотрим  «как  пойдет» • WAF  что-­‐то  «блокирует»  и  «хорошо»,   смотреть  логи  необязательно • У  меня  ASP.NET,  там  встроенный  WAF! понедельник, 22 апреля 13 г.
Бесплатные  WAF? • mod_security  -­‐  Apache,  Nginx,  IIS • Naxsi  -­‐  nginx • IronBee • PHPIDS понедельник, 22 апреля 13 г.
Бесплатные  WAF • Плюсы – Открытый  код – Установка  на  свое  железо • Минусы – Не  работают  без  настройки – Не  настраиваются  без  специалиста – Нет  поддержки понедельник, 22 апреля 13 г.
Платные  WAF • ModSecurity  from  Trustwave  consul/ng • Imperva • Barracuda • SRA  WAF  (Dell) понедельник, 22 апреля 13 г.
Платные  WAF • Плюсы – Поддержка • Минусы – Готовое  железо – Масштабирование – Производительность – Закрытый  код понедельник, 22 апреля 13 г.
Обзор  mod_security • Один  из  первых  (если  не  самый  первый)   общедоступный  WAF  -­‐  пионер •  Можно  купить  коммерческие  правила  (16  тыс.  +)   – $200/год  за  сервер,  $180/год  при  покупке   лицензии  на  3  года – $135/год  за  сервер  при  покупке  лицензий  на   100  серверов  на  3  года понедельник, 22 апреля 13 г.
Обзор  mod_security • Опыт  внедрения  от  клиента: – Было  4  фронтэнда  без  mod_security – Стало  13  фрондэндов  с  mod_security – $2470/год  на  лицензии – $20k+/год  на  консалтинг – Через  год  от  решения  отказались  из-­‐за  жалоб   клиентов  -­‐  false  posi/ves.  Не  успевали  править понедельник, 22 апреля 13 г.
Обзор  mod_security • Новый  продукт,  полностью  бесплатный,  доступны   исходные  коды • Первый  под  nginx  (сейчас  есть  mod_security  nginx) • Черные  и  белые  списки: – Черные  списки  -­‐  сигнатуры  атак – Белые  списки  -­‐  не  искать  атаку  здесь • Режим  «обучения»  по  трафику  клиентов  -­‐  добавляет  в   белые  списки понедельник, 22 апреля 13 г.
Обзор  naxsi • Можно  внедрить  в  цикл  тестирования  веб-­‐ проекта  с  целью  снизить  ложные   срабатывания  за  счет  «обучения»  на   заведомо  легитимном  трафике   • Можно  купить  платные  правила   mod_security  и  портировать  их  под  naxsi   самостоятельно  -­‐  HACK! понедельник, 22 апреля 13 г.
Обзор  naxsi • Рассчет  на  базовые  правила  и  отключения  их  по   принципу  -­‐  жалуется  -­‐  отключить  все  может   привести  к  пропуску  атак • Обучение  на  основе  количества  срабатываний  -­‐   если  срабатываний  много,  значит  они  «ложные» • Консалтинговые  услуги  не  оказываются,  придется   разбираться  самим понедельник, 22 апреля 13 г.
Насколько  эффективны  WAF   против  хакеров? • Конкурс  по  обходу  mod_security  проводился  в   2011  году:  hŸp://blog.spiderlabs.com/2011/07/ modsecurity-­‐sql-­‐injec/on-­‐challenge-­‐lessons-­‐ learned.html • Минимальное  время,  за  которое  WAF  сломали   эксперты  -­‐  10  часов,  среднее  -­‐  72  часа,   минимальное  кол-­‐во  запросов  -­‐  118 понедельник, 22 апреля 13 г.
Насколько эффективны WAF против хакеров? • Вместе с хорошо настроенным WAF у вас есть 10 часов от момента срабатывания до момента исправления уязвимости • Без WAF - 1-2 минуты • С плохо настроенным - 5-10 минут понедельник, 22 апреля 13 г.
Выводы • Серебрянной  пули  не  бывает • Поставьте,  настройте,  проверьте,  ПРОЧУВСТВУЙТЕ • Своевременное  детектирование  дает  время  на   устранение  уязвимости,  около  10  часов понедельник, 22 апреля 13 г.
Общие  проблемы • Производительность  WAF  линейно  падает  с  ростом  числа   правил  (сигнатур),  16000  !!! • Много  лишних  правил  по-­‐умолчанию  или  много   трудозатрат  на  их  устранение • Сигнатуры  не  выдерживают  обфускации  и  обходятся  в   конечном  счете • Новые  атаки  обнаружатся  только  после  получения  новых   сигнатур понедельник, 22 апреля 13 г.
Нам  нужна  ваша  помощь! • Для  прототипа  нового  решения  необходим   «живой»  трафик • Если  вы  подключены  к  Qrator,  и  готовы   учавствовать  в  открытом  тестировании,  оставьте   заявку:  beta-­‐qr@ONsec.ru  или  @ONsec_Lab  twi понедельник, 22 апреля 13 г.

Recommended

Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
Смотрим на Mvvm сквозь prism'у
Смотрим на Mvvm сквозь prism'уСмотрим на Mvvm сквозь prism'у
Смотрим на Mvvm сквозь prism'уAlexander Byndyu
 

Recommended

Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
Смотрим на Mvvm сквозь prism'у
Смотрим на Mvvm сквозь prism'уСмотрим на Mvvm сквозь prism'у
Смотрим на Mvvm сквозь prism'уAlexander Byndyu
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFishRoman Brovko
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Alexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальшеAlexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальшеZabbix
 
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас ИващенкоOWASP Russia
 
Client Side Autotesting Flash
Client Side Autotesting FlashClient Side Autotesting Flash
Client Side Autotesting Flashguestb0af15
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 
Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхРешения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхCisco Russia
 
Рекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС CiscoРекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС CiscoCisco Russia
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!Dmitry Evteev
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Andrey Klyuchka
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку! Компания УЦСБ
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?ЭЛВИС-ПЛЮС
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application FirewallPositive Hack Days
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
 
Daemons In Web on #devrus
Daemons In Web on #devrusDaemons In Web on #devrus
Daemons In Web on #devrusAlex Chistyakov
 

More Related Content

What's hot

"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFishRoman Brovko
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Alexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальшеAlexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальшеZabbix
 
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас ИващенкоOWASP Russia
 
Client Side Autotesting Flash
Client Side Autotesting FlashClient Side Autotesting Flash
Client Side Autotesting Flashguestb0af15
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 

What's hot (9)

"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
 
70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Alexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальшеAlexei Vladishev - Zabbix 3.0 что дальше
Alexei Vladishev - Zabbix 3.0 что дальше
 
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
 
Client Side Autotesting Flash
Client Side Autotesting FlashClient Side Autotesting Flash
Client Side Autotesting Flash
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 

Viewers also liked

Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхРешения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхCisco Russia
 
Рекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС CiscoРекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС CiscoCisco Russia
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!Dmitry Evteev
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Andrey Klyuchka
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?ЭЛВИС-ПЛЮС
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application FirewallPositive Hack Days
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 

Viewers also liked (10)

Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решения
 
Решения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данныхРешения Cisco в области ИБ для центров обработки данных
Решения Cisco в области ИБ для центров обработки данных
 
Рекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС CiscoРекомендации по настройке контроллеров БЛВС Cisco
Рекомендации по настройке контроллеров БЛВС Cisco
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 

Similar to Web Application Firewalls / Иван Новиков (ONsec)

Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
 
Daemons In Web on #devrus
Daemons In Web on #devrusDaemons In Web on #devrus
Daemons In Web on #devrusAlex Chistyakov
 
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"Yandex
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиAvivi Academy
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014Anna Tarasenko
 
Protrarctor and Angular
Protrarctor and AngularProtrarctor and Angular
Protrarctor and AngularSQALab
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакRuslan Sukhar
 
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...IT-Portfolio
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTExpolink
 
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"Expolink
 
Оптимизация производительности нагруженных веб-систем на Java
Оптимизация производительности нагруженных веб-систем на JavaОптимизация производительности нагруженных веб-систем на Java
Оптимизация производительности нагруженных веб-систем на JavaAlex Chistyakov
 
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...Positive Hack Days
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021Timur Shemsedinov
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Как автоматизировать комплексные системы
Как автоматизировать комплексные системыКак автоматизировать комплексные системы
Как автоматизировать комплексные системыSQALab
 
Построение собственного JS SDK — зачем и как?
Построение собственного JS SDK — зачем и как?Построение собственного JS SDK — зачем и как?
Построение собственного JS SDK — зачем и как?buranLcme
 

Similar to Web Application Firewalls / Иван Новиков (ONsec) (20)

Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
 
Daemons In Web on #devrus
Daemons In Web on #devrusDaemons In Web on #devrus
Daemons In Web on #devrus
 
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"
Евгения Фирсова "Выкладка вёрстки — просто, быстро, безопасно"
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014
Скорость не в ущерб качеству, web-разработка на Java, Java day, Omsk, 2014
 
Protrarctor and Angular
Protrarctor and AngularProtrarctor and Angular
Protrarctor and Angular
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атак
 
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...
20 апреля, DEV {highload}, "Демоны в большом проекте – проблемы и их решения ...
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
 
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"
СКБ-Банк. Игорь Клопотов. "Apache ServiceMix: опыт внедрения и эксплуатации"
 
Оптимизация производительности нагруженных веб-систем на Java
Оптимизация производительности нагруженных веб-систем на JavaОптимизация производительности нагруженных веб-систем на Java
Оптимизация производительности нагруженных веб-систем на Java
 
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...
Ph days2015 pavel_shodanYet another Shodan или наш опыт создания аналогичной ...
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021Node.js Меньше сложности, больше надежности Holy.js 2021
Node.js Меньше сложности, больше надежности Holy.js 2021
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Как автоматизировать комплексные системы
Как автоматизировать комплексные системыКак автоматизировать комплексные системы
Как автоматизировать комплексные системы
 
Построение собственного JS SDK — зачем и как?
Построение собственного JS SDK — зачем и как?Построение собственного JS SDK — зачем и как?
Построение собственного JS SDK — зачем и как?
 

More from Ontico

One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...Ontico
 
Масштабируя DNS / Артем Гавриченков (Qrator Labs)
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Масштабируя DNS / Артем Гавриченков (Qrator Labs)
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Ontico
 
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Ontico
 
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Ontico
 
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Ontico
 
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)Ontico
 
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...Ontico
 
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Ontico
 
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)Ontico
 
MySQL Replication — Advanced Features / Петр Зайцев (Percona)
MySQL Replication — Advanced Features / Петр Зайцев (Percona)MySQL Replication — Advanced Features / Петр Зайцев (Percona)
MySQL Replication — Advanced Features / Петр Зайцев (Percona)Ontico
 
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...Ontico
 
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...Ontico
 
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...Ontico
 
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)Ontico
 
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)Ontico
 
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)Ontico
 
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)Ontico
 
100500 способов кэширования в Oracle Database или как достичь максимальной ск...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...100500 способов кэширования в Oracle Database или как достичь максимальной ск...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...Ontico
 
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...Ontico
 
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...Ontico
 

More from Ontico (20)

One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
 
Масштабируя DNS / Артем Гавриченков (Qrator Labs)
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Масштабируя DNS / Артем Гавриченков (Qrator Labs)
Масштабируя DNS / Артем Гавриченков (Qrator Labs)
 
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
 
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
 
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
 
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
 
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
 
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
 
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
 
MySQL Replication — Advanced Features / Петр Зайцев (Percona)
MySQL Replication — Advanced Features / Петр Зайцев (Percona)MySQL Replication — Advanced Features / Петр Зайцев (Percona)
MySQL Replication — Advanced Features / Петр Зайцев (Percona)
 
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
 
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
 
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
 
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
 
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
 
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
 
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
 
100500 способов кэширования в Oracle Database или как достичь максимальной ск...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...100500 способов кэширования в Oracle Database или как достичь максимальной ск...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...
 
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
 
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
 

Web Application Firewalls / Иван Новиков (ONsec)

  • 1. HOWTO:  Web  Applica/on   Firewalls   Проблематика  и  обзор   решений Иван  Новиков понедельник, 22 апреля 13 г.
  • 2. Что  такое? • WAF  -­‐  Web  Applica/on  Firewall • Средства  обнаружения  и  блокировки  атак   на  веб-­‐приложения • Атаки  на  приложение  -­‐  эксплуатация   ошибок  с  целью  получения  НСД • АТАКА  !=  УЯЗВИМОСТЬ понедельник, 22 апреля 13 г.
  • 3. Кто  атакует? • Автоматические  сканеры  из  бот-­‐сетей • Школьники  (script-­‐kiddies) • Злоумышленники  (сбор  бот-­‐сетей,   перепродажа  трафика) • «Киллеры»  на  заказ • Аудиторы-­‐«антикиллеры»  на  заказ  от  вас понедельник, 22 апреля 13 г.
  • 4. Как  атакуют? • Уязвимости  движков  и  компонент – WordPress  (/mthumb) – PhpMyAdmin  (unserialize) – TinyMCE  (file  upload) – JQuery  (DOM-­‐based  XSS) понедельник, 22 апреля 13 г.
  • 5. Как  атакуют? • Уязвимости  веб-­‐приложений • XSS • SQL  injec/on • Local  File  Inclusion  (LFI/RFI) • ... понедельник, 22 апреля 13 г.
  • 6. Что  делать? • Не  закрывать  глаза • Не  бояться • Разбираться  в  проблеме • Понимать  методы  борьбы  и  решения • Применять  их понедельник, 22 апреля 13 г.
  • 7. Как  бороться? • Блокировать  атаки  с  помощью  WAF • Проверять  атаки  на  предмет  реального   наличия  уязвимостей • Выявлять  уязвимости • Устранять  уязвимости • Не  допускать  аналогичных  в  дальнейшем понедельник, 22 апреля 13 г.
  • 8. Как  работает  WAF? • Пропустить  все  запросы  через  себя • Анализировать  содержимое  запрос • Блокировать  запрос  при  наличии  атаки • Пропустить  запрос  на  бэкэнд,  если  атака  не   обнаружена понедельник, 22 апреля 13 г.
  • 9. Как  работает  Web  App  Firewall? Сервер приложений WAF Клиент HTTP запрос Хакер вектор атаки понедельник, 22 апреля 13 г.
  • 10. Как  ошибается  WAF? Сервер приложений WAF Клиент HTTP запрос Хакер вектор атаки Пропуск хакера Блок клиента понедельник, 22 апреля 13 г.
  • 11. Мифы  о  WAF • WAF  блокирует  уязвимости! • Есть  WAF  =>  Firewall  не  нужен! • Есть  Firewall  =>  WAF  не  нужен! • WAF  защищает  все  мои  сервисы:   почту,  базу,  LDAP • Приложение  нельзя  взломать  через   WAF • Приложение  все-­‐равно  взломают,   WAF  не  нужен! понедельник, 22 апреля 13 г.
  • 12. Мифы  о  WAF • Можно  настроить  WAF,  чтобы  он  вообще   НИКОГДА  не  ошибался • WAF  никак  не  скажется  на   производительности  фронтэндов • WAF  можно  не  настраивать,  «для   начала»  поставим  как  есть,  а  там   посмотрим  «как  пойдет» • WAF  что-­‐то  «блокирует»  и  «хорошо»,   смотреть  логи  необязательно • У  меня  ASP.NET,  там  встроенный  WAF! понедельник, 22 апреля 13 г.
  • 13. Бесплатные  WAF? • mod_security  -­‐  Apache,  Nginx,  IIS • Naxsi  -­‐  nginx • IronBee • PHPIDS понедельник, 22 апреля 13 г.
  • 14. Бесплатные  WAF • Плюсы – Открытый  код – Установка  на  свое  железо • Минусы – Не  работают  без  настройки – Не  настраиваются  без  специалиста – Нет  поддержки понедельник, 22 апреля 13 г.
  • 15. Платные  WAF • ModSecurity  from  Trustwave  consul/ng • Imperva • Barracuda • SRA  WAF  (Dell) понедельник, 22 апреля 13 г.
  • 16. Платные  WAF • Плюсы – Поддержка • Минусы – Готовое  железо – Масштабирование – Производительность – Закрытый  код понедельник, 22 апреля 13 г.
  • 17. Обзор  mod_security • Один  из  первых  (если  не  самый  первый)   общедоступный  WAF  -­‐  пионер •  Можно  купить  коммерческие  правила  (16  тыс.  +)   – $200/год  за  сервер,  $180/год  при  покупке   лицензии  на  3  года – $135/год  за  сервер  при  покупке  лицензий  на   100  серверов  на  3  года понедельник, 22 апреля 13 г.
  • 18. Обзор  mod_security • Опыт  внедрения  от  клиента: – Было  4  фронтэнда  без  mod_security – Стало  13  фрондэндов  с  mod_security – $2470/год  на  лицензии – $20k+/год  на  консалтинг – Через  год  от  решения  отказались  из-­‐за  жалоб   клиентов  -­‐  false  posi/ves.  Не  успевали  править понедельник, 22 апреля 13 г.
  • 19. Обзор  mod_security • Новый  продукт,  полностью  бесплатный,  доступны   исходные  коды • Первый  под  nginx  (сейчас  есть  mod_security  nginx) • Черные  и  белые  списки: – Черные  списки  -­‐  сигнатуры  атак – Белые  списки  -­‐  не  искать  атаку  здесь • Режим  «обучения»  по  трафику  клиентов  -­‐  добавляет  в   белые  списки понедельник, 22 апреля 13 г.
  • 20. Обзор  naxsi • Можно  внедрить  в  цикл  тестирования  веб-­‐ проекта  с  целью  снизить  ложные   срабатывания  за  счет  «обучения»  на   заведомо  легитимном  трафике   • Можно  купить  платные  правила   mod_security  и  портировать  их  под  naxsi   самостоятельно  -­‐  HACK! понедельник, 22 апреля 13 г.
  • 21. Обзор  naxsi • Рассчет  на  базовые  правила  и  отключения  их  по   принципу  -­‐  жалуется  -­‐  отключить  все  может   привести  к  пропуску  атак • Обучение  на  основе  количества  срабатываний  -­‐   если  срабатываний  много,  значит  они  «ложные» • Консалтинговые  услуги  не  оказываются,  придется   разбираться  самим понедельник, 22 апреля 13 г.
  • 22. Насколько  эффективны  WAF   против  хакеров? • Конкурс  по  обходу  mod_security  проводился  в   2011  году:  hŸp://blog.spiderlabs.com/2011/07/ modsecurity-­‐sql-­‐injec/on-­‐challenge-­‐lessons-­‐ learned.html • Минимальное  время,  за  которое  WAF  сломали   эксперты  -­‐  10  часов,  среднее  -­‐  72  часа,   минимальное  кол-­‐во  запросов  -­‐  118 понедельник, 22 апреля 13 г.
  • 23. Насколько эффективны WAF против хакеров? • Вместе с хорошо настроенным WAF у вас есть 10 часов от момента срабатывания до момента исправления уязвимости • Без WAF - 1-2 минуты • С плохо настроенным - 5-10 минут понедельник, 22 апреля 13 г.
  • 24. Выводы • Серебрянной  пули  не  бывает • Поставьте,  настройте,  проверьте,  ПРОЧУВСТВУЙТЕ • Своевременное  детектирование  дает  время  на   устранение  уязвимости,  около  10  часов понедельник, 22 апреля 13 г.
  • 25. Общие  проблемы • Производительность  WAF  линейно  падает  с  ростом  числа   правил  (сигнатур),  16000  !!! • Много  лишних  правил  по-­‐умолчанию  или  много   трудозатрат  на  их  устранение • Сигнатуры  не  выдерживают  обфускации  и  обходятся  в   конечном  счете • Новые  атаки  обнаружатся  только  после  получения  новых   сигнатур понедельник, 22 апреля 13 г.
  • 26. Нам  нужна  ваша  помощь! • Для  прототипа  нового  решения  необходим   «живой»  трафик • Если  вы  подключены  к  Qrator,  и  готовы   учавствовать  в  открытом  тестировании,  оставьте   заявку:  beta-­‐qr@ONsec.ru  или  @ONsec_Lab  twi понедельник, 22 апреля 13 г.