[Owasp-turkey] Web Application Firewall

Ferruh Mavituna ferruh at mavituna.com
Tue May 18 14:38:25 EDT 2010


Aslinda isin komigi* **DECLARE *in blacklistte olmamasi esas sacma olan,
zaten DECLARE+EXECUTE ve integer encoding gibi bir sey ile kullanildiginda
aslinda hersey calisiyor. O makaledeki saldirilara baktim da bir WAF in bunu
yakalayamiyor olmasi bana biraz ilginc geliyor.

Surada zaten genel olarak WAF larin durumunun ne kadar vahim oldugu
gosteriliyor:
http://p42.us/favxss/

<http://p42.us/favxss/>Mesela alert() yerine prompt() kullanmak ya da ' or
1=1-- yerine ' or 2=2-- kullanmak gibi :)



2010/5/18 Huzeyfe ONAL <huzeyfe at lifeoverip.net>

> reverse fonksiyonu kullanarak sql sorgularını WAF'lardan gecirme yöntemi de
> oldukca hosuma gitti.
>
>
> http://snosoft.blogspot.com/2010/05/reversenoitcejni-lqs-dnilb-bank-hacking.html
>
> ---
> Huzeyfe ONAL
> Ağ ve bilgi güvenliği listesine üye oldunuz mu?
> http://www.lifeoverip.net/netsec-listesi/
>
> ---
>
>
> 2010/5/18 Ferruh Mavituna <ferruh at mavituna.com>
>
> Harikaymis :)
>>
>> Ben bunu Netsparker forumlarina da ekleyeyim. Evet eklenebilecek bir
>> ozellige benziyor, SSL konusunda zaten ekleyecegimiz ozellikler var belki
>> bunu da o sirada ekleyebiliriz.
>>
>>
>> Tesekkurler,
>>
>>
>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>
>>> netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir test
>>> yaptim. ek'te screenshotlar;
>>>
>>> 1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher
>>> suite'ler enabled
>>> 2.jpg: netsparker ile crawl ediyorum
>>> https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey,
>>> wireshark client hello goruntusu. 11 suite support ediliyor
>>> 3.jpg: sslharden ile sadece 3DES'i enable birakiyorum
>>> 4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu.
>>> sadece 2 tane 3DES support ediliyor.
>>> tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir
>>> ozellik gibi. ;)
>>>
>>> kolay gelsin.
>>> 18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>
>>> Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
>>>> component'larinda calisiyor ama acikcasi emin degilim.
>>>>
>>>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>>>
>>>>  kurulu oldugu windows makinede ssl yapilandirmasini degistirsek
>>>>> olmuyor mu? http://www.gorlani.com/publicprj/CipherControl/ ile
>>>>> mesela...
>>>>> cok iyi bulgu bu arada.
>>>>>
>>>>> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>>>
>>>>>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante
>>>>>> edilmis bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde
>>>>>> ayni eski switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir.
>>>>>> Tabii ki network WAF'larindan bahsediyorum mod_security de o sorun yoktur
>>>>>> muhtemelen.
>>>>>>
>>>>>>
>>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>>
>>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>>
>>>>>>
>>>>>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>>>>>> halledilebilir gibi geldi bana.
>>>>>>
>>>>>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>>>>>
>>>>>>> Merhaba,
>>>>>>>
>>>>>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>>>>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>>>>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>>>>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>>>>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>>>>>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>>>>>> alabilirsiniz.
>>>>>>>
>>>>>>>
>>>>>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>>>>>
>>>>>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>>>>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>>>>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>>>>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>>>>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son
>>>>>>> yaptığım
>>>>>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL
>>>>>>> chiper
>>>>>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>>>>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>>>>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>>>>>> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
>>>>>>> edemiyorlar.
>>>>>>>
>>>>>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>>>>>> yakalarken
>>>>>>>
>>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>>>>>
>>>>>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri
>>>>>>> kontrol edemiyor.
>>>>>>>
>>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>>>>>>
>>>>>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>>>>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor.
>>>>>>> Ancak
>>>>>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>>>>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>>>>>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>>>>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>>>>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>>>>>> etmenin zararlarını da ortaya koyuyor.
>>>>>>>
>>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>>>
>>>>>>> İyi Çalışmalar.
>>>>>>>
>>>>>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>>>>>  > Merhaba,
>>>>>>> >
>>>>>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum.
>>>>>>> Aranızda bu
>>>>>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>>>>>>> >
>>>>>>> > Hangi ürünleri önerirsiniz?
>>>>>>> >
>>>>>>> > Yardımlarınız için teşekkürler.
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> > Ömer Faruk Altundal.
>>>>>>> >
>>>>>>> > omeraltundal at hotmail.com
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> > ________________________________
>>>>>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from
>>>>>>> your inbox.
>>>>>>> > Learn more.
>>>>>>>  > _______________________________________________
>>>>>>> > Owasp-turkey mailing list
>>>>>>> > Owasp-turkey at lists.owasp.org
>>>>>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>> >
>>>>>>> >
>>>>>>> _______________________________________________
>>>>>>> Owasp-turkey mailing list
>>>>>>> Owasp-turkey at lists.owasp.org
>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> .fm
>>>>>>
>>>>>> _______________________________________________
>>>>>> Owasp-turkey mailing list
>>>>>> Owasp-turkey at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Bedirhan Urgun
>>>>> http://www.webguvenligi.org
>>>>> http://www.owasp.org/index.php/Turkey
>>>>>
>>>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>>>  https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>> _______________________________________________
>>>>> Owasp-turkey mailing list
>>>>> Owasp-turkey at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> .fm
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> Bedirhan Urgun
>>> http://www.webguvenligi.org
>>> http://www.owasp.org/index.php/Turkey
>>>
>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> .fm
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
.fm
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/5c2a4a3b/attachment.html 


More information about the Owasp-turkey mailing list