[Owasp-turkey] Web Application Firewall

Huzeyfe ONAL huzeyfe at lifeoverip.net
Tue May 18 14:22:53 EDT 2010


reverse fonksiyonu kullanarak sql sorgularını WAF'lardan gecirme yöntemi de
oldukca hosuma gitti.

http://snosoft.blogspot.com/2010/05/reversenoitcejni-lqs-dnilb-bank-hacking.html
---
Huzeyfe ONAL
Ağ ve bilgi güvenliği listesine üye oldunuz mu?
http://www.lifeoverip.net/netsec-listesi/

---


2010/5/18 Ferruh Mavituna <ferruh at mavituna.com>

> Harikaymis :)
>
> Ben bunu Netsparker forumlarina da ekleyeyim. Evet eklenebilecek bir
> ozellige benziyor, SSL konusunda zaten ekleyecegimiz ozellikler var belki
> bunu da o sirada ekleyebiliriz.
>
>
> Tesekkurler,
>
>
> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>
>> netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir test
>> yaptim. ek'te screenshotlar;
>>
>> 1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher
>> suite'ler enabled
>> 2.jpg: netsparker ile crawl ediyorum
>> https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey,
>> wireshark client hello goruntusu. 11 suite support ediliyor
>> 3.jpg: sslharden ile sadece 3DES'i enable birakiyorum
>> 4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu.
>> sadece 2 tane 3DES support ediliyor.
>> tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir
>> ozellik gibi. ;)
>>
>> kolay gelsin.
>> 18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>
>> Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
>>> component'larinda calisiyor ama acikcasi emin degilim.
>>>
>>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>>
>>>  kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor
>>>> mu? http://www.gorlani.com/publicprj/CipherControl/ ile mesela...
>>>> cok iyi bulgu bu arada.
>>>>
>>>> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>>
>>>>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis
>>>>> bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
>>>>> switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
>>>>> network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.
>>>>>
>>>>>
>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>
>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>
>>>>>
>>>>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>>>>> halledilebilir gibi geldi bana.
>>>>>
>>>>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>>>>
>>>>>> Merhaba,
>>>>>>
>>>>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>>>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>>>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>>>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>>>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>>>>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>>>>> alabilirsiniz.
>>>>>>
>>>>>>
>>>>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>>>>
>>>>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>>>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>>>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>>>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>>>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
>>>>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
>>>>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>>>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>>>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>>>>> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
>>>>>> edemiyorlar.
>>>>>>
>>>>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>>>>> yakalarken
>>>>>>
>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>>>>
>>>>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
>>>>>> edemiyor.
>>>>>>
>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>>>>>
>>>>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>>>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
>>>>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>>>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>>>>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>>>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>>>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>>>>> etmenin zararlarını da ortaya koyuyor.
>>>>>>
>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>>
>>>>>> İyi Çalışmalar.
>>>>>>
>>>>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>>>>  > Merhaba,
>>>>>> >
>>>>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum.
>>>>>> Aranızda bu
>>>>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>>>>>> >
>>>>>> > Hangi ürünleri önerirsiniz?
>>>>>> >
>>>>>> > Yardımlarınız için teşekkürler.
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> > Ömer Faruk Altundal.
>>>>>> >
>>>>>> > omeraltundal at hotmail.com
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> >
>>>>>> > ________________________________
>>>>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from
>>>>>> your inbox.
>>>>>> > Learn more.
>>>>>>  > _______________________________________________
>>>>>> > Owasp-turkey mailing list
>>>>>> > Owasp-turkey at lists.owasp.org
>>>>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>> >
>>>>>> >
>>>>>> _______________________________________________
>>>>>> Owasp-turkey mailing list
>>>>>> Owasp-turkey at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> .fm
>>>>>
>>>>> _______________________________________________
>>>>> Owasp-turkey mailing list
>>>>> Owasp-turkey at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Bedirhan Urgun
>>>> http://www.webguvenligi.org
>>>> http://www.owasp.org/index.php/Turkey
>>>>
>>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>>  https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> .fm
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> Bedirhan Urgun
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> .fm
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/a3caf066/attachment.html 


More information about the Owasp-turkey mailing list