[Owasp-turkey] Web Application Firewall

Deniz Cevik deniz at biznet.com.tr
Tue May 18 15:37:40 EDT 2010


Waf'ın bunu yakalaması lazım.

 

From: owasp-turkey-bounces at lists.owasp.org [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Huzeyfe ONAL
Sent: Tuesday, May 18, 2010 9:23 PM
To: OWASP-Turkey Chapter
Subject: Re: [Owasp-turkey] Web Application Firewall

 

reverse fonksiyonu kullanarak sql sorgularını WAF'lardan gecirme yöntemi de oldukca hosuma gitti.

http://snosoft.blogspot.com/2010/05/reversenoitcejni-lqs-dnilb-bank-hacking.html
---
Huzeyfe ONAL  
Ağ ve bilgi güvenliği listesine üye oldunuz mu?
http://www.lifeoverip.net/netsec-listesi/

---



2010/5/18 Ferruh Mavituna <ferruh at mavituna.com>

Harikaymis :) 

 

Ben bunu Netsparker forumlarina da ekleyeyim. Evet eklenebilecek bir ozellige benziyor, SSL konusunda zaten ekleyecegimiz ozellikler var belki bunu da o sirada ekleyebiliriz.

 

 

Tesekkurler,

 

2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>

netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir test yaptim. ek'te screenshotlar;

 

1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher suite'ler enabled

2.jpg: netsparker ile crawl ediyorum https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey, wireshark client hello goruntusu. 11 suite support ediliyor

3.jpg: sslharden ile sadece 3DES'i enable birakiyorum

4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu. sadece 2 tane 3DES support ediliyor.

tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir ozellik gibi. ;)

 

kolay gelsin.

18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:

	 

	Sanirim o ayarlar sadece IIS ve benzer server tabanli windows component'larinda calisiyor ama acikcasi emin degilim. 

	2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com> 

		 

		kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor mu? http://www.gorlani.com/publicprj/CipherControl/ ile mesela...

		cok iyi bulgu bu arada.

		18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı: 

			 

			Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.

			 

				Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker

				da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)

			 

			:) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak halledilebilir gibi geldi bana. 

			 

			2010/5/18 Deniz CEVIK <denizcev at gmail.com>

				Merhaba,
				
				Ben uzun bir süredir web uygulama firewallarına yönelik belirli
				kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
				Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
				doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
				oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
				ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
				alabilirsiniz.
				
				http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
				
				Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
				bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
				kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
				sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
				bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
				bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
				için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
				sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
				sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
				eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
				edemiyorlar.
				
				Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF yakalarken
				
				openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
				
				aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol edemiyor.
				
				openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
				
				Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
				bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
				perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
				Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
				saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
				yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
				kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
				etmenin zararlarını da ortaya koyuyor.
				
				Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
				da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
				
				İyi Çalışmalar.
				
				2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:

				> Merhaba,
				>
				> Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda bu
				> yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
				>
				> Hangi ürünleri önerirsiniz?
				>
				> Yardımlarınız için teşekkürler.
				>
				>
				>
				>
				>
				> Ömer Faruk Altundal.
				>
				> omeraltundal at hotmail.com
				>
				>
				>
				>
				>
				> ________________________________
				> Hotmail has tools for the New Busy. Search, chat and e-mail from your inbox.
				> Learn more.

				> _______________________________________________
				> Owasp-turkey mailing list
				> Owasp-turkey at lists.owasp.org
				> https://lists.owasp.org/mailman/listinfo/owasp-turkey
				>
				>
				_______________________________________________
				Owasp-turkey mailing list
				Owasp-turkey at lists.owasp.org
				https://lists.owasp.org/mailman/listinfo/owasp-turkey

			
			
			

			-- 
			.fm
			
			_______________________________________________
			Owasp-turkey mailing list
			Owasp-turkey at lists.owasp.org
			https://lists.owasp.org/mailman/listinfo/owasp-turkey

		
		
		
		-- 
		Bedirhan Urgun
		http://www.webguvenligi.org <http://www.webguvenligi.org/> 
		http://www.owasp.org/index.php/Turkey
		
		Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: 

		https://lists.owasp.org/mailman/listinfo/owasp-turkey

		
		_______________________________________________
		Owasp-turkey mailing list
		Owasp-turkey at lists.owasp.org
		https://lists.owasp.org/mailman/listinfo/owasp-turkey

	
	
	
	-- 
	.fm
	
	_______________________________________________
	Owasp-turkey mailing list
	Owasp-turkey at lists.owasp.org
	https://lists.owasp.org/mailman/listinfo/owasp-turkey




-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için: 
https://lists.owasp.org/mailman/listinfo/owasp-turkey


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey




-- 
.fm


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/896b305d/attachment-0001.html 


More information about the Owasp-turkey mailing list