12 dicembre Benvenuti
12 dicembre Application Security Live demo sulla sicurezza applicativa
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 3 Schema di rete tradizionale Web Applications Users port 80 port 443 Per poter permettere l’utilizzo delle applicazioni web è necessario che i servizi http e https siano accedibili
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 4 Web Application Firewall Cos’è un web application firewall È un dispositivo che protegge le applicazioni web sia da vulnerabilità logiche che applicative Indirizza l’entità che è più soggetta ad attacchi via internet: i web server Gli apparati come FW tradizionali, IPS e IDS non proteggono da questi attacchi
12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 5 Nessuna protezione per applicazioni ad-hoc Confidential Data Customized Web Applications Customized Packaged Apps Internal and 3rd Party Code 75% of Attacks Focused Here (Gartner) 75% of Attacks Focused Here (Gartner) No signatures no patches No signatures no patches Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 6 Tipologie di attacco Cross-site scripting SQL Injection LDAP Injection XPath Injection Parameter tampering Cookie poisoning HTTP Request Smuggling HTTP Response Splitting Cross-site Tracing Cross-site ForgeryRequest Stealth Commanding Buffer overflows
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 7 Esempio di XSS efurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e %63%6f%6d/482f3 Si usa GMAIL per “saltare” su un altro sito il cui link è offuscato!!! %68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63% 6f%6d/482f3 equivale al link:
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 8 Esempio di protezione Il parametro “id” nella GET showarticle può essere solo un numero! Attenzione c’è un attacco!!!! WAFWebserver
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 9 WAF deployment Modi di operare Bridge, router, proxy oppure plugin e dipende dalla tipologia della rete SSL Attivo, passivo oppure non richiesto ( nel caso di plugin ) Tecnologia Appliance o software
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 10 Implementazione di WAF Reverse Proxy (HA/LB) One-Arm (HA) Bridge-Mode (HA) Bridge-Mode (fail open)
12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 11 WAF SSL HTTP (no SSL) SSL verso i client che verso i server Converte l’HTTP in HTTPS SSL solo sul gateway
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 12 WAF caratteristiche Web site protection HTTP protocol compliance SQL injection blocking OS command injection protection XSS protection Form/cookie tampering defense Online form field validation Denial of Service Protection Outbound packet scanning Web site cloaking Anti-crawling Advanced learning modes XML services security XML attack prevention and anti-dos Validation of XML schema, SOAP envelopes and XML content Web services cloaking Application access control SSO portal LDAP and RADIUS integration PKI support Web access management Application delivery and acceleration Caching Compression Connection pooling Load balancing SSL acceleration High availability Plus much, much more...
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 13 WAF elementi chiave In modo semplice deve essere possibile accettare i falsi positivi Abilità di “learning” Policy differenti per applicazioni differenti Supporto per “trusted host” Download automatico di signature e policy Semplice meccanismo di “roll-back” Possibilità di creare “custom signature” o configurazioni particolari Abilità di combinare detection e prevention/protection Gestione centralizzata Possibilità di generare policy da un insieme di default Modalità sia “Positive” che “Negative” Report & Monitoraggio
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 14 Un caso italiano by_fraudsters.html
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 15 Vulnerabilità web 2008 The Web Hacking Incidents Database:
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 16 WAF: per non essere veicolo di malware!!!! Il caso di Economist.com Sul sito di Economist era possibile ad alcune pagine contenente banner pubblicitari, non legati alla rivista I banner sono trasmessi da AdTraff, “an online-marketing company with reported ties to the Russian Business Network, a secretive internet service”.AdTraffreported ties to the Russian Business Network I banner sono animazioni in flash, se il browser e’ vulnerabile, uno SPYWARE viene installato sulla vs. macchina senza che facciate click sul banner.
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 17 WAF: per non essere veicolo di malware!!!! XSS Worms: The most “dangerous” celebrities to search for in 2008: The most “dangerous” celebrities to search for in 2008 Over 10,000 trusted websites infected by new Trojan toolkit: d=13685 Sony PlayStation’s site SQL injected, redirecting to rogue security software: SQL-Injection.aspx
12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 18 Ultima Notizia! 24/11/08 Cybercriminals release Christmas themed web malware exploitation kit Uno degli ultimi attacchi via web, ha una licenza ormai come un prodotto commerciale!
12 dicembre Grazie a tutti!