[ISSA] Web Appication Firewall

May 21, 20080 likes389 views

msobiegraj

Edward Weinert

WAF – zastosowanie Obrona aplikacji i serwerów webowych przed atakami typu „Brute Force” i SQLInjection Ochrona użytkowników przed przejęciem sesji Ochrona XML-RPC (AJAX) Ochrona XML WebServices Ochrona komunikacji SOAP

WAF – tarcza webservera WAF Web Server Web Client

WAF – bogactwo i różnorodność Architektura wdrożenia Sposoby działania Wsparcie HTTP Rodzaje detekcji Rodzaje ochrony Logowanie i raportowanie Zarządzanie Wydajność XML

WAF – architektura wdrożenia Tryby działania: Bridge Router Reverse proxy WebServer plug-in Sposób wykonania BlackBox – oprogramowanie i specjalizowany sprzęt Oprogramowanie WAF jako farma urządzeń

WAF – sposoby działania Współdziałanie z SSL Terminator SSL Pasywne rozkodowanie SSL’a Blokowanie ruchu Blokowanie przez WAF Żądania HTTP, połączenia, adresy IP, sesje, użytkownicy Delegacja blokowanie na inne urządzenia

WAF – wsparcie HTTP Wsparcie HTTP HTTP 1.0/1.1, formularze, ciasteczka kompresja, walidacja URL ograniczenia na typ protokołu i wielkość, długość URI, nagłówki, parametry (typ i wielkość) transfer plików autentykacja Wsparcie HTML Kodowanie stron Wsparcie innych protokołów (FTP, LDAP, DNS)

WAF – rodzaje detekcji Dekodowanie HTTP/HTML Znaki specjalne HTML i URL Ścieżki (./, ../) Nadużywanie białych znaków Pozytywny i negatywny model bezpieczeństwa Sygnatury i Role (bazy danych producentów) Konfiguracja ręczna Możliwość tworzenia własnych dodatków

WAF – rodzaje ochrony Detekcja ataków typu „Brute Force” Ochrona ciasteczek (podpisywanie i szyfrowanie) Ochrona sesji (autentykacja ID sesji) Ochrona pól ukrytych Mapa aplikacji – restrykcje sposobu poruszania się użytkownika

WAF – logowanie i raportowanie Eksport logów do pliku w wybranym formacie z zadanym interwałem (via FTP) Powiadamianie o zdarzeniach Obsługa danych wrażliwych Raportowanie automatyzacja

WAF – zarządzanie Zarządzanie polisami Tryb uczenia się Zarządzanie konfiguracją i użytkownikami Interface WAF GUI (via https) konsola

WAF – wydajność Zasada nieoznaczoności Heisenberga

WAF – XML Ochrona XML Web Serivces Definiowanie dostępności metod i zakresu parametrów Ochrona AJAX XML Firewall

WAF – zastosowanie HTTPS HTTP Terminator SSL Aplikacja WWW

XML Firewall Rodzaj WAF Filtrowanie nagłówków SOAP Uprawnienia i restrykcje Token SAML Filtrowanie treści SOAP Walidacja XSD Ochrona XML WebServices

XML Firewall – zastosowanie HTTPS HTTP XML Firewall XML WebService (MIDDLEWARE) Zewnętrzny system ERP FK

WAF - Najlepsze praktyki Tworzenie aplikacji filtrowanych przez WAF Uwaga na WIZARD’y w narzędziach devloperskich! Obiekty HTTP w protokole HTTPS Testy aplikacji razem z WAF przed wdrożeniem Mapy aplikacji i polisy bezpieczeństwa Najpierw mapa, potem polisy Tryb uczenia jako dodatek i uzupełnienie Dynamiczne serwisy Problem z dynamicznie tworzoną zawartością

This document discusses the benefits of DragonWAF website security software. DragonWAF protects websites from common attacks like SQL injection, buffer overflows, and cross-site scripting by filtering malicious code and requests. It offers more protection than ordinary firewalls, which miss 25% of cyber attacks, and conventional firewalls. DragonWAF securely handles user access and online transactions while maintaining brand trustworthiness and business sustainability.

[ISSA] IDSmsobiegraj

��

Doing Research about Web Application FirewallsCarmen Torrano Giménez

��

This document discusses research into three different types of anomaly-based web application firewalls (WAFs): statistical techniques, Markov chains, and machine learning. It describes creating datasets for evaluating WAFs, the results of experiments showing statistical techniques had the lowest false positive rate but Markov chains and machine learning also had high detection rates, and contributions like reducing the number of features and training requests to optimize WAF performance.

Gwt RPCmaheshm1206

��

Web Application Firewall (WAF) DAST/SAST combinationTjylen Veselyj

��

Web Application Firewall: Suckseed or SucceedPrathan Phongthiproek

��

This document introduces Web Application Firewall (WAF) and discusses techniques for bypassing WAF protections, including SQL injection, cross-site scripting, file inclusion, HTTP parameter contamination, and HTTP pollution attacks. It provides examples of bypassing specific WAF vendors and open source WAFs like ModSecurity and PHPIDS. While WAFs can block some attacks, the document argues they cannot eliminate all vulnerabilities and proper secure coding is still needed. It concludes that WAFs may succeed or fail depending on configurations and imaginative attacks.

Penetration testing web application web application (in) securityNahidul Kibria

��

Introducão a Web Applications FirewallsJeronimo Zucco

��

[ISSA] Zagrożenia na 2008 rokmsobiegraj

��

[ISSA] Incident Responcemsobiegraj

��

2FA w bankowosci (Bartosz Nowak)msobiegraj

��

Strong Authentication (Michal Sobiegraj)msobiegraj

��

This document discusses strong authentication methods that use two factors of identification. It describes traditional methods like ATM cards that use something you have (the card) and something you know (the PIN). Modern methods discussed include one-time passwords, smart cards, and out-of-band authentication using a mobile phone for an extra layer of security beyond just a password. The document analyzes the security and weaknesses of various knowledge-based and ownership-based authentication approaches.

Minor Mistakes In Web Portalsmsobiegraj

��

The document discusses various security issues that can occur on web portals, including cross-site scripting (XSS) vulnerabilities that allow altering of content or stealing cookies, and cross-site request forgery (CSRF) attacks. It provides examples of how these attacks can be carried out, such as using XSS to change website branding or send a user's cookies to an attacker. The document recommends mitigation techniques like input filtering, consistency checks, and tying sessions to IP addresses to help prevent these types of attacks.

ISSA Wroclaw -- Aktywacjamsobiegraj

��

Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjimsobiegraj

��

Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj

��

Technology Risk Management of Web Applications — A Case Studymsobiegraj

��

Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki ubocznemsobiegraj

��

Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemmsobiegraj

��

[ISSA] Web Appication Firewall

1. WEB APPLICTION FIREWALL [email_address]

2. WAF – zastosowanie Obrona aplikacji i serwerów webowych przed atakami typu „Brute Force” i SQLInjection Ochrona użytkowników przed przejęciem sesji Ochrona XML-RPC (AJAX) Ochrona XML WebServices Ochrona komunikacji SOAP

3. WAF – tarcza webservera WAF Web Server Web Client

4. WAF – bogactwo i różnorodność Architektura wdrożenia Sposoby działania Wsparcie HTTP Rodzaje detekcji Rodzaje ochrony Logowanie i raportowanie Zarządzanie Wydajność XML

5. WAF – architektura wdrożenia Tryby działania: Bridge Router Reverse proxy WebServer plug-in Sposób wykonania BlackBox – oprogramowanie i specjalizowany sprzęt Oprogramowanie WAF jako farma urządzeń

6. WAF – sposoby działania Współdziałanie z SSL Terminator SSL Pasywne rozkodowanie SSL’a Blokowanie ruchu Blokowanie przez WAF Żądania HTTP, połączenia, adresy IP, sesje, użytkownicy Delegacja blokowanie na inne urządzenia

7. WAF – wsparcie HTTP Wsparcie HTTP HTTP 1.0/1.1, formularze, ciasteczka kompresja, walidacja URL ograniczenia na typ protokołu i wielkość, długość URI, nagłówki, parametry (typ i wielkość) transfer plików autentykacja Wsparcie HTML Kodowanie stron Wsparcie innych protokołów (FTP, LDAP, DNS)

8. WAF – rodzaje detekcji Dekodowanie HTTP/HTML Znaki specjalne HTML i URL Ścieżki (./, ../) Nadużywanie białych znaków Pozytywny i negatywny model bezpieczeństwa Sygnatury i Role (bazy danych producentów) Konfiguracja ręczna Możliwość tworzenia własnych dodatków

9. WAF – rodzaje ochrony Detekcja ataków typu „Brute Force” Ochrona ciasteczek (podpisywanie i szyfrowanie) Ochrona sesji (autentykacja ID sesji) Ochrona pól ukrytych Mapa aplikacji – restrykcje sposobu poruszania się użytkownika

10. WAF – logowanie i raportowanie Eksport logów do pliku w wybranym formacie z zadanym interwałem (via FTP) Powiadamianie o zdarzeniach Obsługa danych wrażliwych Raportowanie automatyzacja

11. WAF – zarządzanie Zarządzanie polisami Tryb uczenia się Zarządzanie konfiguracją i użytkownikami Interface WAF GUI (via https) konsola

12. WAF – wydajność Zasada nieoznaczoności Heisenberga

13. WAF – XML Ochrona XML Web Serivces Definiowanie dostępności metod i zakresu parametrów Ochrona AJAX XML Firewall

14. WAF – zastosowanie HTTPS HTTP Terminator SSL Aplikacja WWW

15. XML Firewall Rodzaj WAF Filtrowanie nagłówków SOAP Uprawnienia i restrykcje Token SAML Filtrowanie treści SOAP Walidacja XSD Ochrona XML WebServices

16. XML Firewall – zastosowanie HTTPS HTTP XML Firewall XML WebService (MIDDLEWARE) Zewnętrzny system ERP FK

17. WAF - Najlepsze praktyki Tworzenie aplikacji filtrowanych przez WAF Uwaga na WIZARD’y w narzędziach devloperskich! Obiekty HTTP w protokole HTTPS Testy aplikacji razem z WAF przed wdrożeniem Mapy aplikacji i polisy bezpieczeństwa Najpierw mapa, potem polisy Tryb uczenia jako dodatek i uzupełnienie Dynamiczne serwisy Problem z dynamicznie tworzoną zawartością

�ݺ�ߣ

[ISSA] Web Appication Firewall

Recommended

More Related Content

More from msobiegraj (11)

[ISSA] Web Appication Firewall