Benvenuti 21 dicembre 2015 1 Application Security Live demo sulla sicurezza applicativa 21 dicembre 2015 2 Schema di rete tradizionale Per poter permettere l’utilizzo delle applicazioni web è necessario che i servizi http e https siano accedibili Web Applications Users port 80 port 443 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 3 Web Application Firewall Cos’è un web application firewall È un dispositivo che protegge le applicazioni web sia da vulnerabilità logiche che applicative Indirizza l’entità che è più soggetta ad attacchi via internet: i web server Gli apparati come FW tradizionali, IPS e IDS non proteggono da questi attacchi 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 4 Nessuna protezione per applicazioni ad-hoc 75% of Attacks Focused Here (Gartner) Network Firewall 21 dicembre 2015 IDS IPS Customized Web Applications Customized Packaged Apps Internal and 3rd Party Code Web Servers Application Servers Database Servers Operating Systems Operating Systems Operating Systems Network © 2003 Hacking Team All Rights Reserved Confidential Data 5 Tipologie di attacco Cross-site scripting LDAP Injection XPath Injection Cross-site Tracing HTTP Response Splitting Parameter tampering SQL Injection Cross-site ForgeryRequest Cookie poisoning Stealth Commanding 21 dicembre 2015 HTTP Request Smuggling © 2008 Hacking Team All Rights Reserved Buffer overflows 6 Esempio di XSS http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgr efurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e %63%6f%6d/482f3 Si usa GMAIL per “saltare” su un altro sito il cui link è offuscato!!! %68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63% 6f%6d/482f3 equivale al link: http://snipurl.com/482f3 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 7 Esempio di protezione Attenzione c’è un http://a.com/showarticle?id=278 attacco!!!! http://a.com/showarticle?id=345 WAF http://a.com/showarticle?id=12 Webserver Il parametro “id” nella GET http://a.com/showarticle?id=1’%20OR%201=1-- showarticle può essere solo un numero! 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 8 WAF deployment Modi di operare SSL Bridge, router, proxy oppure plugin e dipende dalla tipologia della rete Attivo, passivo oppure non richiesto ( nel caso di plugin ) Tecnologia 21 dicembre 2015 Appliance o software © 2008 Hacking Team All Rights Reserved 9 Implementazione di WAF Reverse Proxy (HA/LB) One-Arm (HA) Bridge-Mode (HA) Bridge-Mode (fail open) 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 10 WAF SSL HTTP (no SSL) SSL verso i client che verso i server Converte l’HTTP in HTTPS SSL solo sul gateway 21 dicembre 2015 © 2003 Hacking Team All Rights Reserved 11 WAF caratteristiche Application access control SSO portal LDAP and RADIUS integration PKI support Web access management Application delivery and acceleration Caching Compression Connection pooling Load balancing SSL acceleration High availability Plus much, much more... Web site protection XML services security 21 dicembre 2015 HTTP protocol compliance SQL injection blocking OS command injection protection XSS protection Form/cookie tampering defense Online form field validation Denial of Service Protection Outbound packet scanning Web site cloaking Anti-crawling Advanced learning modes XML attack prevention and anti-dos Validation of XML schema, SOAP envelopes and XML content Web services cloaking © 2008 Hacking Team All Rights Reserved 12 WAF elementi chiave In modo semplice deve essere possibile accettare i falsi positivi Abilità di “learning” Policy differenti per applicazioni differenti Supporto per “trusted host” Download automatico di signature e policy Semplice meccanismo di “roll-back” Possibilità di creare “custom signature” o configurazioni particolari Abilità di combinare detection e prevention/protection Gestione centralizzata Possibilità di generare policy da un insieme di default Modalità sia “Positive” che “Negative” Report & Monitoraggio 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 13 Un caso italiano http://news.netcraft.com/archives/2008/01/08/italian_banks_xss_opportunity_seized_ by_fraudsters.html 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 14 Vulnerabilità web 2008 The Web Hacking Incidents Database: http://www.webappsec.org/projects/whid/ 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 15 WAF: per non essere veicolo di malware!!!! Il caso di Economist.com Sul sito di Economist era possibile ad alcune pagine contenente banner pubblicitari, non legati alla rivista I banner sono trasmessi da AdTraff, “an online-marketing company with reported ties to the Russian Business Network, a secretive internet service”. I banner sono animazioni in flash, se il browser e’ vulnerabile, uno SPYWARE viene installato sulla vs. macchina senza che facciate click sul banner. http://www.wired.com/techbiz/media/news/2007/11/doubleclick 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 16 WAF: per non essere veicolo di malware!!!! XSS Worms: http://ha.ckers.org/xss-worms/ http://badmalweb.blogspot.com/2007/09/injection-hack-detection-method-php.html http://ddanchev.blogspot.com/2008/10/massive-sql-injection-attacks-chinese.html The most “dangerous” celebrities to search for in 2008: http://blogs.zdnet.com/security/?p=1926 The most “dangerous” celebrities to search for in 2008 Over 10,000 trusted websites infected by new Trojan toolkit: http://www.publictechnology.net/modules.php?op=modload&name=News&file=article&si d=13685 Sony PlayStation’s site SQL injected, redirecting to rogue security software: http://blogs.zdnet.com/security/?p=1394 http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-AutomatedSQL-Injection.aspx 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 17 Ultima Notizia! 24/11/08 Cybercriminals release Christmas themed web malware exploitation kit Uno degli ultimi attacchi via web, ha una licenza ormai come un prodotto commerciale! http://blogs.zdnet.com/security/?p=2217 21 dicembre 2015 © 2008 Hacking Team All Rights Reserved 18 Grazie a tutti! 21 dicembre 2015 19