La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa.

PubblicatoVanessa Giordani Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa."— Transcript della presentazione:

1 12 dicembre 2015 1 Benvenuti

2 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa

3 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 3 Schema di rete tradizionale Web Applications Users port 80 port 443 Per poter permettere l’utilizzo delle applicazioni web è necessario che i servizi http e https siano accedibili

4 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 4 Web Application Firewall Cos’è un web application firewall È un dispositivo che protegge le applicazioni web sia da vulnerabilità logiche che applicative Indirizza l’entità che è più soggetta ad attacchi via internet: i web server Gli apparati come FW tradizionali, IPS e IDS non proteggono da questi attacchi

5 12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 5 Nessuna protezione per applicazioni ad-hoc Confidential Data Customized Web Applications Customized Packaged Apps Internal and 3rd Party Code 75% of Attacks Focused Here (Gartner) 75% of Attacks Focused Here (Gartner) No signatures no patches No signatures no patches Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS

6 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 6 Tipologie di attacco Cross-site scripting SQL Injection LDAP Injection XPath Injection Parameter tampering Cookie poisoning HTTP Request Smuggling HTTP Response Splitting Cross-site Tracing Cross-site ForgeryRequest Stealth Commanding Buffer overflows

7 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 7 Esempio di XSS http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgr efurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e %63%6f%6d/482f3 Si usa GMAIL per “saltare” su un altro sito il cui link è offuscato!!! %68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63% 6f%6d/482f3 equivale al link: http://snipurl.com/482f3

8 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 8 Esempio di protezione http://a.com/showarticle?id=278 http://a.com/showarticle?id=345 http://a.com/showarticle?id=12 Il parametro “id” nella GET showarticle può essere solo un numero! http://a.com/showarticle?id=1’%20OR%201=1-- Attenzione c’è un attacco!!!! WAFWebserver

9 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 9 WAF deployment Modi di operare Bridge, router, proxy oppure plugin e dipende dalla tipologia della rete SSL Attivo, passivo oppure non richiesto ( nel caso di plugin ) Tecnologia Appliance o software

10 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 10 Implementazione di WAF Reverse Proxy (HA/LB) One-Arm (HA) Bridge-Mode (HA) Bridge-Mode (fail open)

11 12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 11 WAF SSL HTTP (no SSL) SSL verso i client che verso i server Converte l’HTTP in HTTPS SSL solo sul gateway

12 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 12 WAF caratteristiche Web site protection HTTP protocol compliance SQL injection blocking OS command injection protection XSS protection Form/cookie tampering defense Online form field validation Denial of Service Protection Outbound packet scanning Web site cloaking Anti-crawling Advanced learning modes XML services security XML attack prevention and anti-dos Validation of XML schema, SOAP envelopes and XML content Web services cloaking Application access control SSO portal LDAP and RADIUS integration PKI support Web access management Application delivery and acceleration Caching Compression Connection pooling Load balancing SSL acceleration High availability Plus much, much more...

13 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 13 WAF elementi chiave In modo semplice deve essere possibile accettare i falsi positivi Abilità di “learning” Policy differenti per applicazioni differenti Supporto per “trusted host” Download automatico di signature e policy Semplice meccanismo di “roll-back” Possibilità di creare “custom signature” o configurazioni particolari Abilità di combinare detection e prevention/protection Gestione centralizzata Possibilità di generare policy da un insieme di default Modalità sia “Positive” che “Negative” Report & Monitoraggio

14 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 14 Un caso italiano http://news.netcraft.com/archives/2008/01/08/italian_banks_xss_opportunity_seized_ by_fraudsters.html

15 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 15 Vulnerabilità web 2008 The Web Hacking Incidents Database: http://www.webappsec.org/projects/whid/

16 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 16 WAF: per non essere veicolo di malware!!!! Il caso di Economist.com Sul sito di Economist era possibile ad alcune pagine contenente banner pubblicitari, non legati alla rivista I banner sono trasmessi da AdTraff, “an online-marketing company with reported ties to the Russian Business Network, a secretive internet service”.AdTraffreported ties to the Russian Business Network I banner sono animazioni in flash, se il browser e’ vulnerabile, uno SPYWARE viene installato sulla vs. macchina senza che facciate click sul banner. http://www.wired.com/techbiz/media/news/2007/11/doubleclick

17 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 17 WAF: per non essere veicolo di malware!!!! XSS Worms: http://ha.ckers.org/xss-worms/ http://badmalweb.blogspot.com/2007/09/injection-hack-detection-method-php.html http://ddanchev.blogspot.com/2008/10/massive-sql-injection-attacks-chinese.html The most “dangerous” celebrities to search for in 2008: http://blogs.zdnet.com/security/?p=1926 The most “dangerous” celebrities to search for in 2008 Over 10,000 trusted websites infected by new Trojan toolkit: http://www.publictechnology.net/modules.php?op=modload&name=News&file=article&si d=13685 Sony PlayStation’s site SQL injected, redirecting to rogue security software: http://blogs.zdnet.com/security/?p=1394 http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated- SQL-Injection.aspx

18 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 18 Ultima Notizia! 24/11/08 Cybercriminals release Christmas themed web malware exploitation kit Uno degli ultimi attacchi via web, ha una licenza ormai come un prodotto commerciale! http://blogs.zdnet.com/security/?p=2217

19 12 dicembre 2015 19 Grazie a tutti!

Scaricare ppt "12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa."

Presentazioni simili

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group

Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group
Servizi integrati e completi per la piccola impresa Andrea Candian.

Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
Giorgio Quaranta ISV Account Manager

Giorgio Quaranta ISV Account Manager
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.

Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Crea il tuo sito con Web Matrix e il Web Hosting su ASP.NET

Crea il tuo sito con Web Matrix e il Web Hosting su ASP.NET
Consumare Web Service Andrea Saltarello

Consumare Web Service Andrea Saltarello
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.

ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Sharepoint Gabriele Castellani

Sharepoint Gabriele Castellani
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.

Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Microsoft Message Management Services Infosecurity – Milano Febbraio 2005 Bruno Barbagli Sales Solution Specialist.

Microsoft Message Management Services Infosecurity – Milano Febbraio 2005 Bruno Barbagli Sales Solution Specialist.
L’offerta di prodotti di Sicurezza e la roadmap evolutiva

L’offerta di prodotti di Sicurezza e la roadmap evolutiva
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Web Services.

Web Services.
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
OUTLINE Riprogettazione del database del portale Web della Facoltà di Ingegneria Sviluppo di una applicazione WEB DB : HOMEPAGE DOCENTI Architettura multilivello.

OUTLINE Riprogettazione del database del portale Web della Facoltà di Ingegneria Sviluppo di una applicazione WEB DB : HOMEPAGE DOCENTI Architettura multilivello.
La sicurezza nel mondo Social Network dei

La sicurezza nel mondo Social Network dei
Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.

Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.

Presentazioni simili

Annunci Google