[Owasp-turkey] Web Application Firewall

Bunyamin Demir bunyamindemir at gmail.com
Tue May 18 20:30:58 EDT 2010


http://blog.didierstevens.com/2010/02/02/quickpost-quasi-tautologies-sql-injection/

Rand() da ornek verilebilir.



18 Mayıs 2010 21:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:

> Aslinda isin komigi* **DECLARE *in blacklistte olmamasi esas sacma olan,
> zaten DECLARE+EXECUTE ve integer encoding gibi bir sey ile kullanildiginda
> aslinda hersey calisiyor. O makaledeki saldirilara baktim da bir WAF in bunu
> yakalayamiyor olmasi bana biraz ilginc geliyor.
>
> Surada zaten genel olarak WAF larin durumunun ne kadar vahim oldugu
> gosteriliyor:
> http://p42.us/favxss/
>
> <http://p42.us/favxss/>Mesela alert() yerine prompt() kullanmak ya da ' or
> 1=1-- yerine ' or 2=2-- kullanmak gibi :)
>
>
>
> 2010/5/18 Huzeyfe ONAL <huzeyfe at lifeoverip.net>
>
> reverse fonksiyonu kullanarak sql sorgularını WAF'lardan gecirme yöntemi de
>> oldukca hosuma gitti.
>>
>>
>> http://snosoft.blogspot.com/2010/05/reversenoitcejni-lqs-dnilb-bank-hacking.html
>>
>> ---
>> Huzeyfe ONAL
>> Ağ ve bilgi güvenliği listesine üye oldunuz mu?
>> http://www.lifeoverip.net/netsec-listesi/
>>
>> ---
>>
>>
>> 2010/5/18 Ferruh Mavituna <ferruh at mavituna.com>
>>
>> Harikaymis :)
>>>
>>> Ben bunu Netsparker forumlarina da ekleyeyim. Evet eklenebilecek bir
>>> ozellige benziyor, SSL konusunda zaten ekleyecegimiz ozellikler var belki
>>> bunu da o sirada ekleyebiliriz.
>>>
>>>
>>> Tesekkurler,
>>>
>>>
>>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>>
>>>> netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir
>>>> test yaptim. ek'te screenshotlar;
>>>>
>>>> 1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher
>>>> suite'ler enabled
>>>> 2.jpg: netsparker ile crawl ediyorum
>>>> https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey,
>>>> wireshark client hello goruntusu. 11 suite support ediliyor
>>>> 3.jpg: sslharden ile sadece 3DES'i enable birakiyorum
>>>> 4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu.
>>>> sadece 2 tane 3DES support ediliyor.
>>>> tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir
>>>> ozellik gibi. ;)
>>>>
>>>> kolay gelsin.
>>>> 18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>>
>>>> Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
>>>>> component'larinda calisiyor ama acikcasi emin degilim.
>>>>>
>>>>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>>>>
>>>>>  kurulu oldugu windows makinede ssl yapilandirmasini degistirsek
>>>>>> olmuyor mu? http://www.gorlani.com/publicprj/CipherControl/ ile
>>>>>> mesela...
>>>>>> cok iyi bulgu bu arada.
>>>>>>
>>>>>> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>>>>
>>>>>>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante
>>>>>>> edilmis bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde
>>>>>>> ayni eski switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir.
>>>>>>> Tabii ki network WAF'larindan bahsediyorum mod_security de o sorun yoktur
>>>>>>> muhtemelen.
>>>>>>>
>>>>>>>
>>>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>>>
>>>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>>>
>>>>>>>
>>>>>>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>>>>>>> halledilebilir gibi geldi bana.
>>>>>>>
>>>>>>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>>>>>>
>>>>>>>> Merhaba,
>>>>>>>>
>>>>>>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>>>>>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>>>>>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>>>>>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>>>>>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi
>>>>>>>> tavsiye
>>>>>>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>>>>>>> alabilirsiniz.
>>>>>>>>
>>>>>>>>
>>>>>>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>>>>>>
>>>>>>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>>>>>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>>>>>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>>>>>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>>>>>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son
>>>>>>>> yaptığım
>>>>>>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL
>>>>>>>> chiper
>>>>>>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>>>>>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>>>>>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>>>>>>> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
>>>>>>>> edemiyorlar.
>>>>>>>>
>>>>>>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>>>>>>> yakalarken
>>>>>>>>
>>>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>>>>>>
>>>>>>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri
>>>>>>>> kontrol edemiyor.
>>>>>>>>
>>>>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher
>>>>>>>> DHE-RSA-AES256-SHA
>>>>>>>>
>>>>>>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>>>>>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor.
>>>>>>>> Ancak
>>>>>>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>>>>>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir
>>>>>>>> kaç
>>>>>>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>>>>>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>>>>>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>>>>>>> etmenin zararlarını da ortaya koyuyor.
>>>>>>>>
>>>>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba.
>>>>>>>> :)
>>>>>>>>
>>>>>>>> İyi Çalışmalar.
>>>>>>>>
>>>>>>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>>>>>>  > Merhaba,
>>>>>>>> >
>>>>>>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum.
>>>>>>>> Aranızda bu
>>>>>>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var
>>>>>>>> mı?
>>>>>>>> >
>>>>>>>> > Hangi ürünleri önerirsiniz?
>>>>>>>> >
>>>>>>>> > Yardımlarınız için teşekkürler.
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> > Ömer Faruk Altundal.
>>>>>>>> >
>>>>>>>> > omeraltundal at hotmail.com
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> >
>>>>>>>> > ________________________________
>>>>>>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from
>>>>>>>> your inbox.
>>>>>>>> > Learn more.
>>>>>>>>  > _______________________________________________
>>>>>>>> > Owasp-turkey mailing list
>>>>>>>> > Owasp-turkey at lists.owasp.org
>>>>>>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>>> >
>>>>>>>> >
>>>>>>>> _______________________________________________
>>>>>>>> Owasp-turkey mailing list
>>>>>>>> Owasp-turkey at lists.owasp.org
>>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> .fm
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Owasp-turkey mailing list
>>>>>>> Owasp-turkey at lists.owasp.org
>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>>
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Bedirhan Urgun
>>>>>> http://www.webguvenligi.org
>>>>>> http://www.owasp.org/index.php/Turkey
>>>>>>
>>>>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>>>>  https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>
>>>>>> _______________________________________________
>>>>>> Owasp-turkey mailing list
>>>>>> Owasp-turkey at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> .fm
>>>>>
>>>>> _______________________________________________
>>>>> Owasp-turkey mailing list
>>>>> Owasp-turkey at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Bedirhan Urgun
>>>> http://www.webguvenligi.org
>>>> http://www.owasp.org/index.php/Turkey
>>>>
>>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> .fm
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> .fm
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100519/fe314f6f/attachment-0001.html 


More information about the Owasp-turkey mailing list