[Owasp-turkey] Web Application Firewall

Bunyamin Demir bunyamindemir at gmail.com
Tue May 18 19:22:37 EDT 2010


Merhabalar,

Aslinda bir çok şey söylenmiş ve kaynaklar gösterilmiş. Ben sadece eksik
gördüklerimi ilave edeyim.

- WAF`ın yapacağı tüm kontroller HTTP ve HTTPS uzerinde çalışmalı.
- XML destegi önemli olabilir.
- SQL injection ve XSS falan saymiyorum, zaten temel özellikler ama CSRF
için ürünün ne yaptığına dikkat edin.
- İşletmenin büyüklüğünü bilmiyorum ama eğer ciddi miktarda HTTP request
alınıyorsa alacağınız ürünün HTTP req/sec değerine, ürünün desteklediği TCP
session sayısına dikkat edin.
- Virtual Patch ( bir açıklık var, development giderene kadar araya girme)
özelliğini iyi öğrenin.

Bir de performans testlerine dikkat edin. Üzerinde yüzlerce özellik
barındıran ürünlere biraz yüklendiğiniz de özelliklerin bir kısmı devre dışı
kalınca şaşırmayın.

Ürün isimleri verilmiş ama ben ürün adreslemek yerine, bu konuda çalışması
olan üreticileri listeliyeyim. Unuttuklarım varsa da lütfen diğer arkadaşlar
dahil etsinler. Kimseye ayıp olmasın :)

WAF Product Developers Consortium Members
Applicure Technologies, Ltd., http://www.applicure.com
Breach Security, Inc., http://www.breach.com
Citrix Systems, Inc., http://www.citrix.com
F5 Networks, Inc., http://www.f5.com
Fortify Software, Inc., http://www.fortifysoftware.com
Imperva, Inc., http://www.imperva.com
Netcontinuum, Inc., http://www.barracudanetworks.com/netcontinuum


Syg.


18 Mayıs 2010 10:08 tarihinde Onur YILMAZ <contact at onuryilmaz.info> yazdı:

>  Bu konuda sanırım aramızda en deneyimli olan Bünyamin Demir :) ben birkaç
> link daha paylaşayım;
>
>
> http://www.webguvenligi.org/wp-content/uploads/2007/05/modsec_owasp_06052007.pdf
> http://www.webguvenligi.org/projeler/jarvinen
> http://www.webguvenligi.org/projeler/owasp-webekci
>
> 18.05.2010 10:05, Ömer Altundal yazmış:
>
>
>
> Onur teşekkürler,
>
> İlk başlangıç noktam zaten orasıydı, gözüme birkaç ürün kestirip üzerlerine
> gidiyorum zaten şuanda :)
>
> Acaba dedim deneyimi olan da var mıdır?
>
> Yardımın için teşekkürler.
>
>
>
>
> **
>
> *Ömer Faruk Altundal.*
>
> *omeraltundal at hotmail.com* <omeraltundal at hotmail.com>
>
>
>  **
>
>
>
>
> ------------------------------
> Date: Tue, 18 May 2010 10:02:03 +0300
> From: contact at onuryilmaz.info
> To: owasp-turkey at lists.owasp.org
> Subject: Re: [Owasp-turkey] Web Application Firewall
>
> Selamlar,
>
> aktif olarak bir çalışma yapmadım ama
> http://www.owasp.org/index.php/Web_Application_Firewall adresinden
> ürünlere ulaşabilirsiniz.
>
> Ayrıca ESAPI projesini de inceleyebilirsiniz:
> http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
>
> 18.05.2010 09:54, Ömer Altundal yazmış:
>
> Merhaba,
>
> Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda bu
> yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>
> Hangi ürünleri önerirsiniz?
>
> Yardımlarınız için teşekkürler.
>
>
> **
>
> *Ömer Faruk Altundal.*
>
> *omeraltundal at hotmail.com* <omeraltundal at hotmail.com>
>
>
>  **
>
>
>
> ------------------------------
> Hotmail has tools for the New Busy. Search, chat and e-mail from your
> inbox. Learn more.<http://www.windowslive.com/campaign/thenewbusy?ocid=PID28326::T:WLMTAGL:ON:WL:en-US:WM_HMP:042010_1>
>
>
> _______________________________________________
> Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> --
> Onur YILMAZonuryilmaz.info
>
>
> ------------------------------
> The New Busy think 9 to 5 is a cute idea. Combine multiple calendars with
> Hotmail. Get busy.<http://www.windowslive.com/campaign/thenewbusy?tile=multicalendar&ocid=PID28326::T:WLMTAGL:ON:WL:en-US:WM_HMP:042010_5>
>
>
> _______________________________________________
> Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> --
> Onur YILMAZonuryilmaz.info
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100519/9b68e876/attachment.html 


More information about the Owasp-turkey mailing list