project in computer security
DESCRIPTION
Project in Computer Security. Expanding Web Application Firewall Testing Framework Supervisor : Amichai Shulman Students : Gil Ovadia & Shooki Matzliah. Introduction. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/1.jpg)
Project in Computer SecurityExpanding Web Application Firewall Testing Framework
Supervisor: Amichai ShulmanStudents: Gil Ovadia & Shooki Matzliah
![Page 2: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/2.jpg)
Introduction•Web Application Firewall (WAF) היעילה המידע אבטחת טכנולוגיית הן
. להפעיל מסוגלים הם שכן התקפות מפני אינטרנט יישומי על להגנה ביותר. שונים מסוגים התקפות של וחסימה הרצה בזמן זיהוי
•WAF , . הקיימים הבדיקה כלי זאת עם פעם מאי יותר נפוצים להיות הופכיםידי על זוהתה שלא הזדונית התעבורה כמות את עוסקת WAFמודדים ואינה
. כזדונית בטעות שהתגלתה הלגיטימית התעבורה כמות במדידת
•(WAF Testing Framework, A.K.A WTF)- ל בדיקות תוכנת הגנה - WAFקיימת של ההיבטים שני את בחשבון שלוקחת
. זדונית תנועה ולגלות לגיטימית תנועה לאפשרההתקפות את גם שמייצגים תצורה קבצי של וקבוצה מכלי מורכבת המסגרת , . באמצעות יישומים לשרת רשת תעבורת מספק הכלי לגיטימית תעבורה של
WAF . של, התוצאה את מודד מכן לאחר הכלי התצורה מקבצי הוראות לפי , .) לבסוף ) לאפשר או לחסום הצפויות לתוצאות ומשווה בנפרד בקשה כל
- ה מתנהג כיצד המראים מפורטים דוחות לייצר מסוגל תצורת WAFהכלי נגדהבדיקה.
• : התבססנו עליהם התקיפות .RFI, SQLi, XSSסוגי
![Page 3: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/3.jpg)
Evasion•Virtual Patching- ה: שבו לפרצות WAFתהליך כתיקון משמש
קוד בעריכת הצורך מבלי באפליקציה שקיימות אבטחה: שלבים. בשני מתבצע זה תהליך האפליקציה
•Activation- ה: בו לנקודה WAFהשלב מיועד המידע שרצף מזהה . תקיפה נסיונות ולזרוק המידע את לנתח ועליו באפליקציה רגישה
- ה של חולשה נקודת -WAFזוהי ה שאם שעליו WAFמשום מזהה לא- ה ) שדה כי למשל מסוימת בקשה עבור מתאים Pathלפעול לא
" " ,) התקפות זו בקשה על להלביש נוכל עבורו שהוגדרו לחוקיםכרצוננו.
•Verification- ה: שלאחר השלב -Activationזהו ה, קיבל WAFבולגלות מנת על שנשלחה הבקשה את ולנתח לפעול שעליו החלטה
- . ה התנהגות בהם מקומות לנצל ניתן כאן תקיפה לא WAFדפוסיהתוכנית ) התנהגות את בדיוק (, Impedance Mismatchתואמת
, מנת על שנשלחה הבקשה תוכן את במקצת לזהם לעיתים ניתן- ה מכללי אנו, WAFלהתחמק אותו ההתקפה בתוכן לפגוע מבלי
. להעביר מנסים
![Page 4: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/4.jpg)
Goals and Objectives
- ה עבור אוטומטי באופן קונפיגורציה קבצי WAF TestingיצירתFramework. סטנדרטי בפורמט רשת תעבורת לכידת על המבוססים
- ל חדשות בדיקות -WTFהוספת ה של התמודדות בדיקת WAFלצורךטכניקות - לאחרונה שפורסמו חולשות " Evasionעם מאמרו י עפ
Ivan Ristikשל
בדיקת ) לגיטימית תעבורה (.false positiveהוספת
1
2
3
![Page 5: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/5.jpg)
Toolsבשפת • כתובה הבדיקות בסביבת, Javaמערכת IntelliJהשתמשנו
IDEA
עליה - WebGoatאפליקציית • מוגנת בלתי דמה אפליקציית זוהי . נחשבת זו אפליקציה על התקפה כל ההתקפות כל את ביצענו
התנהגות, את לבודד היה ניתן ומכאן אשר WAFכמוצלחת מסוים. זו אפליקציה מעל רץ
•Imperva WTF - לבדיקת ' WAFהכלי בחב , Impervaשפותח. מרחיבים אנו אותו
•Snort - זהוWAF האפליקציה שרת לבין הלקוח בין הקמנו אשר- כ אותנו שימש .WAFואשר הבדיקות מערכת את הרצנו שעליו
![Page 6: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/6.jpg)
Tools•Mod Security - זהוWAF שרת לבין הלקוח בין הקמנו אשר נוסף
. פתוח, קוד בעל האפליקציה
•XML - מערכת של קונפיגורציה לצורך הנתונים העברת צורתמריץ. אותם והתרחישים התקיפות מתוכנתות בו האופן זהו הבדיקות
. WTFה- ההתחמקות טכניקות את מימשנו האפליקציה על. זה מסוג קונפיגורציה קבצי באמצעות
•Charles Proxy - ותגובות בקשות תפיסת המאפשר כלי HTTPזהו . שליחתן בעת בקשות לשנות ניתן באמצעותו ברשת שעוברות . נסיונות לשחזר מנת על בו השתמשנו רשת תעבורת ולהקליט
. רשת תעבורת ולהקליט התקפה
![Page 7: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/7.jpg)
Working Processללא ) • סטנדרטיות תקיפות :ModSecurityבנוכחות( Evasionהרצת
![Page 8: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/8.jpg)
Working Processללא ) • סטנדרטיות תקיפות ללא Snortבנוכחות( Evasionהרצת
כלל :Paranoidהפעלת
![Page 9: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/9.jpg)
Working Processללא ) • סטנדרטיות תקיפות כאשר Snortבנוכחות( Evasionהרצת
:Paranoidכלל מופעל
![Page 10: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/10.jpg)
![Page 11: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/11.jpg)
Working Processתקיפות • :Snortעל RFIהרצת
![Page 12: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/12.jpg)
Working Processתקיפות • :Snortעל SQLiהרצת
![Page 13: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/13.jpg)
Working Processתקיפות • :ModSecurityעל SQLiהרצת
![Page 14: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/14.jpg)
Working Processתקיפות • :Snortעל XSSהרצת
![Page 15: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/15.jpg)
Working Processתקיפות • :ModSecurityעל XSSהרצת
![Page 16: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/16.jpg)
Conclusionsטכניקות • ללא - Evasionגם זמנית, ובו תקיפות למנוע נוכל לא
ההגנה Trade-offיש. False-Positive 0%ליצור רמת בין מסוים. שתחסם הלגיטימית התעבורה לכמות
•- ה את לעבור הצליחו שיישמנו הטכניקות עליהם Firewallsמרבית " אפליקציה – כל ולתקוף ל הנ הטכניקות את ליישם ניתן בדקנו
. גבוהים הצלחה באחוזי כיום מוגנת
כגון – • בפרמטרים שימוש המבצעות תקיפות אשר SQLiעבור , לבצע יותר קשה קלט בשדות בשלב Evasionמשתמשת
.Verificationה-
•- ל הנוגע בתוכה, WAF Testingבכל כוללת אינה אשר בדיקה.Evasionטכניקות מספקת תהיה לא
![Page 17: Project in Computer Security](https://reader035.vdocuments.pub/reader035/viewer/2022062816/568156b9550346895dc45121/html5/thumbnails/17.jpg)
Thanks !