![Page 1: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/1.jpg)
TIRE O MÁXIMO PROVEITO
DE SEU FIREWALL DE
APLICAÇÃOWillian A.Mayan
![Page 2: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/2.jpg)
#whoami
Willian.A.Mayan AKA Pupilo
Bacharel em Ciência da Computação
Embaixador do projeto Fedora por 3 anos
Tradutor do projeto Fedora
Atualmente contribuo para o NAXSI rules
Palestrante
Análista de Segurança
Organizador do NullByte Security Conference
![Page 3: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/3.jpg)
#service speak start
3
Quanto valem meu$ negocio$ ?
Web Application Firewall
Comprei minha caixinha e estou super seguro!!!
Entendendo minha aplicação
WAF – Como as coisas acontecem!
• Vetores de entrada
• Utilizando recursos do meu WAF
• Whitelist
• REGEX
![Page 4: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/4.jpg)
Quanto valem meus negocio$ ?
4
![Page 5: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/5.jpg)
Quanto valem meus negocio$ ?
5
O que aconteceria se
o botão do seu e-
commerce de
pagamento não
estivesse
funcionando?
![Page 6: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/6.jpg)
Quanto valem meus negocio$ ?
6
Ou se um alto número de acessos em um determinado horário
bloqueasse todos os seus clientes?
![Page 7: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/7.jpg)
Web Application Firewall
Quem são, para onde vão e porquê
meu site não funciona corretamente?
![Page 8: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/8.jpg)
Web Application Firewall
8
Quadrant for Web Applications Firewalls
-Imperva
-F5
-Citrix
-Barracuda Networks
-Akamai
Referência:
Magic-Quadrant-for-Web-Application-Firewalls-June-2014.pdf
![Page 9: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/9.jpg)
Web Application Firewall
9
![Page 10: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/10.jpg)
Web Application Firewall
10
Open Source
![Page 11: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/11.jpg)
Comprei minha caixinha e
estou super seguro!!!
11
![Page 12: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/12.jpg)
Não é bem assim….
12
![Page 13: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/13.jpg)
Entendendo minha aplicação
![Page 14: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/14.jpg)
Entendendo minha aplicação
14
Aplicações em constante atualizaçãoPessoas envolvidas:• Sysadmin• Desenvolvedor• DBA• Analista de segurança
Aplicações legadas• Aquele velho relógio de ponto• Esse é so um “sisteminha” para o estoque• A empresa não dá mais suporte para essa aplicação
![Page 15: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/15.jpg)
Entendendo minha aplicação
15
Aplicação
Devel
Sysadmin
DBA
Security
Devel
Sysadmin
Reportar Novas FeaturesReportar NecessidadesEntregar vetores de entrada
Analisar demanda:-Versão do que foi solicitado-Impactos em atualizaçõesAtualização de patchs de correções
Security
DBA
Analisar vetores de entradasPentestConfiguração do WAF
Analisar impactos no SGBDAnalisar tempo das requisiçõesAtualização do SGBD
![Page 16: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/16.jpg)
Entendendo minha aplicação
16
Aplicações em constante atualização
• Ciclo de atualização deve estar acordado entre os profissionaisenvolvidos
• Mapear vetores de entrada
• Pentest
• Manter-se informado sobre as tecnologias utilizadas
• Atualização constante de falhas de segurança e correções de bugs
• Monitorar ataques encontrados buscando as técnicas utilizadas paraprevenções futuras
• Correção de falhas de segurança
![Page 17: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/17.jpg)
WAF – Como as coisas acontecem!
17
Requisições:
![Page 18: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/18.jpg)
Exemplo recente
18
Vulnerabilidade de stored XSS em wordpress 4.2 devido à falta de atualização do banco de dados.
“<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>”
Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.
Fonte: https://www.exploit-db.com/exploits/36844/
![Page 19: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/19.jpg)
Exemplo recente
19
![Page 20: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/20.jpg)
Exemplo recente
20
![Page 21: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/21.jpg)
Vetores de entrada
21
Requisições GET, POST, PUT, etc…
• Consultas
• Upload
• Buscas
• Índices
Exemplos:
“/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00” – CVE: 2013-7091, 0Day zimbra
![Page 22: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/22.jpg)
Utilizando recursos do meu WAF
22
WhiteList
BlackList
REGEX
DDOS
Monitoramento
Integração com LIDS e SIEM
…
![Page 23: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/23.jpg)
Utilizando recursos do meu WAF
23
WhiteList VS BlackList
• Prós
• Liberar somente o que é necessário
• Facilidade de mitigar o ataque
• Contra
• A criação de regras pode ser complexa a depender do seu WAF
• Demanda tempo para testes
![Page 24: TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan](https://reader031.vdocuments.pub/reader031/viewer/2022022200/58a969581a28abfd648b5df5/html5/thumbnails/24.jpg)
Utilizando recursos do meu WAF
24
O que é possível fazer com regex?
•Bloquear vetores de entrada
•Limitar valores de entrada
Observação importante
•REGEX não são iguais para todas as linguagens, verifique a sintaxe da tecnologia que está sendoutilizada.
Exemplo: