La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa.

Presentazioni simili


Presentazione sul tema: "12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa."— Transcript della presentazione:

1 12 dicembre 2015 1 Benvenuti

2 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa

3 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 3 Schema di rete tradizionale Web Applications Users port 80 port 443 Per poter permettere l’utilizzo delle applicazioni web è necessario che i servizi http e https siano accedibili

4 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 4 Web Application Firewall Cos’è un web application firewall È un dispositivo che protegge le applicazioni web sia da vulnerabilità logiche che applicative Indirizza l’entità che è più soggetta ad attacchi via internet: i web server Gli apparati come FW tradizionali, IPS e IDS non proteggono da questi attacchi

5 12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 5 Nessuna protezione per applicazioni ad-hoc Confidential Data Customized Web Applications Customized Packaged Apps Internal and 3rd Party Code 75% of Attacks Focused Here (Gartner) 75% of Attacks Focused Here (Gartner) No signatures no patches No signatures no patches Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS

6 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 6 Tipologie di attacco Cross-site scripting SQL Injection LDAP Injection XPath Injection Parameter tampering Cookie poisoning HTTP Request Smuggling HTTP Response Splitting Cross-site Tracing Cross-site ForgeryRequest Stealth Commanding Buffer overflows

7 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 7 Esempio di XSS http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgr efurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e %63%6f%6d/482f3 Si usa GMAIL per “saltare” su un altro sito il cui link è offuscato!!! %68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63% 6f%6d/482f3 equivale al link: http://snipurl.com/482f3

8 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 8 Esempio di protezione http://a.com/showarticle?id=278 http://a.com/showarticle?id=345 http://a.com/showarticle?id=12 Il parametro “id” nella GET showarticle può essere solo un numero! http://a.com/showarticle?id=1’%20OR%201=1-- Attenzione c’è un attacco!!!! WAFWebserver

9 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 9 WAF deployment Modi di operare Bridge, router, proxy oppure plugin e dipende dalla tipologia della rete SSL Attivo, passivo oppure non richiesto ( nel caso di plugin ) Tecnologia Appliance o software

10 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 10 Implementazione di WAF Reverse Proxy (HA/LB) One-Arm (HA) Bridge-Mode (HA) Bridge-Mode (fail open)

11 12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 11 WAF SSL HTTP (no SSL) SSL verso i client che verso i server Converte l’HTTP in HTTPS SSL solo sul gateway

12 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 12 WAF caratteristiche Web site protection HTTP protocol compliance SQL injection blocking OS command injection protection XSS protection Form/cookie tampering defense Online form field validation Denial of Service Protection Outbound packet scanning Web site cloaking Anti-crawling Advanced learning modes XML services security XML attack prevention and anti-dos Validation of XML schema, SOAP envelopes and XML content Web services cloaking Application access control SSO portal LDAP and RADIUS integration PKI support Web access management Application delivery and acceleration Caching Compression Connection pooling Load balancing SSL acceleration High availability Plus much, much more...

13 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 13 WAF elementi chiave In modo semplice deve essere possibile accettare i falsi positivi Abilità di “learning” Policy differenti per applicazioni differenti Supporto per “trusted host” Download automatico di signature e policy Semplice meccanismo di “roll-back” Possibilità di creare “custom signature” o configurazioni particolari Abilità di combinare detection e prevention/protection Gestione centralizzata Possibilità di generare policy da un insieme di default Modalità sia “Positive” che “Negative” Report & Monitoraggio

14 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 14 Un caso italiano http://news.netcraft.com/archives/2008/01/08/italian_banks_xss_opportunity_seized_ by_fraudsters.html

15 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 15 Vulnerabilità web 2008 The Web Hacking Incidents Database: http://www.webappsec.org/projects/whid/

16 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 16 WAF: per non essere veicolo di malware!!!! Il caso di Economist.com Sul sito di Economist era possibile ad alcune pagine contenente banner pubblicitari, non legati alla rivista I banner sono trasmessi da AdTraff, “an online-marketing company with reported ties to the Russian Business Network, a secretive internet service”.AdTraffreported ties to the Russian Business Network I banner sono animazioni in flash, se il browser e’ vulnerabile, uno SPYWARE viene installato sulla vs. macchina senza che facciate click sul banner. http://www.wired.com/techbiz/media/news/2007/11/doubleclick

17 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 17 WAF: per non essere veicolo di malware!!!! XSS Worms: http://ha.ckers.org/xss-worms/ http://badmalweb.blogspot.com/2007/09/injection-hack-detection-method-php.html http://ddanchev.blogspot.com/2008/10/massive-sql-injection-attacks-chinese.html The most “dangerous” celebrities to search for in 2008: http://blogs.zdnet.com/security/?p=1926 The most “dangerous” celebrities to search for in 2008 Over 10,000 trusted websites infected by new Trojan toolkit: http://www.publictechnology.net/modules.php?op=modload&name=News&file=article&si d=13685 Sony PlayStation’s site SQL injected, redirecting to rogue security software: http://blogs.zdnet.com/security/?p=1394 http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated- SQL-Injection.aspx

18 12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 18 Ultima Notizia! 24/11/08 Cybercriminals release Christmas themed web malware exploitation kit Uno degli ultimi attacchi via web, ha una licenza ormai come un prodotto commerciale! http://blogs.zdnet.com/security/?p=2217

19 12 dicembre 2015 19 Grazie a tutti!


Scaricare ppt "12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa."

Presentazioni simili


Annunci Google