SlideShare une entreprise Scribd logo
Les utilités d'un
coupe-feu applicatif Web
Jonathan Marcil
OWASP Montréal           #ASFWS
Canada
                  Application Security Forum - 2012
                                   Western Switzerland

                  7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains
                  https://www.appsec-forum.ch
2




WAF
 Web
 Application
 Firewall
3




Coupe-feu?
 IP/TCP IP/UDP
 IDS
 IPS
4




Implémentations
 Routeur (Router)
  Pont (Bridge)

 Serveur mandataire (Reverse Proxy)
 Incorporé (Embedded)
5




Routeur (Router)
 Point de défaillance
 unique




                        Problèmes de
                        performances
6




Serveur mandataire (Reverse Proxy)
Serveurs Web ne
supportant pas de
module

Moyens limités

                 Incorporé (Embedded)
                             SSL facile
                             Performance
                             distribuée
7




Modes de fonctionnements
 Surveillance
   Alertes
   Anomalies


 Protection
   Bloquer les attaques
   Corrections virtuelles (Virtual Patching)
8




Philosophies
 Boîte noire et espérance
   À conseiller pour surveillance


 Boîte blanche et personnalisation
   À conseiller pour protection
9




Types de règles
 Surveillance (watchlist)
 Liste blanche (whitelist)
 Liste noire (blacklist)
 Exceptions surveillées (bypass)
 À ignorer (ignorelist)
 Expérience utilisateur (UX)
10




Alertes et rapports
 Importance pour la sécurité
 Importance pour la fonctionnalité

 Console centrale vs. journaux
11



Méthodologie de
développement de règles
Focus sur liste noire
      Audit d’applications ou collectes des failles connues
      Création des règles pour corriger les failles
      Tests en mode surveillance
      Vérification des alertes
         Pour ne pas impacter la production
    Passage en mode protection
    Suivis
         Des alertes pour suivre les changements imprévus la production et les
          attaques
         Des changements pour mises à jour itératives des règles
12



Méthodologie de
développement de règles
Focus sur liste blanche
    Collection et analyse trafic légitime
    Création des règles
       À partir du trafic (profil des applications)
    Tests en mode surveillance
    Vérification des alertes
       Pour ne pas impacter la production
    Passage en mode protection
    Suivis
       Des alertes pour suivre les changements imprévus la production, les
        anomalies et attaques
       Des changements pour mises à jour itératives des règles
13




Conclusions
 Autres utilités que la sécurité
   Fonctionnalités (UX)
   Détection d’anomalies (QA)
   Traces en profondeur (DEBUG)

 Attention au contournement des règles
   Corriger vos applications si possible
14




Démonstration
http://www.modsecurity.org/
http://www.ironbee.com/
http://jwall.org/web/audit/console/screenshots/eventview.png
http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project




                                                               Questions?
15




Bonus
 WAF Testing Framework par Imperva
   Gratuit
   Disponible fin 2012
   Utilise WebGoat
   Code fermé (sera ouvert un jour) mais
    configurations ouvertes XML
16




Bonus     ReDoS

MSC_PCRE_LIMITS_EXCEEDED:
PCRE match limits were exceeded.

SecRule TX:/^MSC_/ "!@streq 0"
 "id:'200004',phase:2,t:none,deny,msg:'
 ModSecurity internal error flagged:
 %{MATCHED_VAR_NAME}‘"
17




Bonus Some Ivan Ristic bypass in a nutshell
 <Location /myapp/admin.php>
      # Allow only numbers in userid
      SecRule ARGS:userid "!^d+$«
  </Location>
 /myapp/admin.php/xyz?userid=1PAYLOAD
 /myapp/admin.php;param=value?userid=1PAYLOAD
 SecRule REQUEST_FILENAME "@streq /myapp/admin.php"
 Short names Apache running on Windows
 Multipart Evasion ModSecurity CRS:
  Content-Type: multipart/; boundary=0000

 http://bit.ly/PYp5G6
18




Merci/Thank you!
Contact:
  jonathan.marcil@owasp.org
     @jonathanmarcil
  http://blog.jonathanmarcil.ca
  Slides:
    http://slideshare.net/ASF-WS/presentations
19




Références
   OWASP Best Practices: Use of Web Application Firewalls
    https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_App
    lication_Firewalls

   OWASP ModSecurity Core Rule Set Project
    https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj
    ect

   Web Application Firewall Evaluation Criteria Version 1.0
    http://projects.webappsec.org/w/page/13246983/WAFEC%201%20HTML%20Version

   ModSecurity Reference Manual
    https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual

Contenu connexe

Tendances

Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
Sebastien Gioria
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Klee Group
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
Bee_Ware
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
Tarek MOHAMED
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
davystoffel
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
Bee_Ware
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Sylvain Maret
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
Sebastien Gioria
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
Said Sadik
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécurité
Guillaume Harry
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
 

Tendances (20)

Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécurité
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 

En vedette

LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
Noël
 
Firewall
FirewallFirewall
Firewall
Yadh Krandel
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
Borni Dhifi
 
Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !
SIPLEO
 
Techdays 2013 (geek in da house - 2 (salah))
Techdays   2013 (geek in da house - 2 (salah))Techdays   2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))
proteus91
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
Bee_Ware
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
e-Xpert Solutions SA
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
Imperva
 
06 03 route
06 03 route06 03 route
06 03 route
Noël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
Noël
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
Noël
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
Noël
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
Zellagui Amine
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
Noël
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
Noël
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Sylvain Maret
 

En vedette (20)

LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
 
Firewall
FirewallFirewall
Firewall
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Techdays 2013 (geek in da house - 2 (salah))
Techdays   2013 (geek in da house - 2 (salah))Techdays   2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
 
06 03 route
06 03 route06 03 route
06 03 route
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 

Similaire à ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
Sergio Loureiro
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
Sergio Loureiro
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
Henrique Mukanda
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
Marius Zaharia
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
AZUG FR
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
Michel HUBERT
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfish
Mounia EL
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
EyesOpen Association
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude   Aix-en-ProvenceL'informatique et la fraude   Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
Antoine Vigneron
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
Johan Moreau
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
Radoine Douhou
 
M1 presentation OSGi
M1 presentation OSGiM1 presentation OSGi
M1 presentation OSGi
Velossity
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
Microsoft Technet France
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARD
Mohamet Lamine DIOP
 
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
SOAT
 
Octo RefCard test front-end
Octo RefCard test front-endOcto RefCard test front-end
Octo RefCard test front-end
Clément Dubois
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-end
François Petitit
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
Everteam
 

Similaire à ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil (20)

Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfish
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude   Aix-en-ProvenceL'informatique et la fraude   Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 
M1 presentation OSGi
M1 presentation OSGiM1 presentation OSGi
M1 presentation OSGi
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARD
 
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
 
Octo RefCard test front-end
Octo RefCard test front-endOcto RefCard test front-end
Octo RefCard test front-end
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-end
 
PFE PPT2
PFE PPT2PFE PPT2
PFE PPT2
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 

Plus de Cyber Security Alliance

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
Cyber Security Alliance
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
Cyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
Cyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
Cyber Security Alliance
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
Cyber Security Alliance
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
Cyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
Cyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
Cyber Security Alliance
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
Cyber Security Alliance
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
Cyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
Cyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
Cyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
Cyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Cyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
Cyber Security Alliance
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
Cyber Security Alliance
 

Plus de Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil

  • 1. Les utilités d'un coupe-feu applicatif Web Jonathan Marcil OWASP Montréal #ASFWS Canada Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch
  • 4. 4 Implémentations  Routeur (Router)  Pont (Bridge)  Serveur mandataire (Reverse Proxy)  Incorporé (Embedded)
  • 5. 5 Routeur (Router) Point de défaillance unique Problèmes de performances
  • 6. 6 Serveur mandataire (Reverse Proxy) Serveurs Web ne supportant pas de module Moyens limités Incorporé (Embedded) SSL facile Performance distribuée
  • 7. 7 Modes de fonctionnements  Surveillance  Alertes  Anomalies  Protection  Bloquer les attaques  Corrections virtuelles (Virtual Patching)
  • 8. 8 Philosophies  Boîte noire et espérance  À conseiller pour surveillance  Boîte blanche et personnalisation  À conseiller pour protection
  • 9. 9 Types de règles  Surveillance (watchlist)  Liste blanche (whitelist)  Liste noire (blacklist)  Exceptions surveillées (bypass)  À ignorer (ignorelist)  Expérience utilisateur (UX)
  • 10. 10 Alertes et rapports  Importance pour la sécurité  Importance pour la fonctionnalité  Console centrale vs. journaux
  • 11. 11 Méthodologie de développement de règles Focus sur liste noire  Audit d’applications ou collectes des failles connues  Création des règles pour corriger les failles  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production et les attaques  Des changements pour mises à jour itératives des règles
  • 12. 12 Méthodologie de développement de règles Focus sur liste blanche  Collection et analyse trafic légitime  Création des règles  À partir du trafic (profil des applications)  Tests en mode surveillance  Vérification des alertes  Pour ne pas impacter la production  Passage en mode protection  Suivis  Des alertes pour suivre les changements imprévus la production, les anomalies et attaques  Des changements pour mises à jour itératives des règles
  • 13. 13 Conclusions  Autres utilités que la sécurité  Fonctionnalités (UX)  Détection d’anomalies (QA)  Traces en profondeur (DEBUG)  Attention au contournement des règles  Corriger vos applications si possible
  • 15. 15 Bonus  WAF Testing Framework par Imperva  Gratuit  Disponible fin 2012  Utilise WebGoat  Code fermé (sera ouvert un jour) mais configurations ouvertes XML
  • 16. 16 Bonus ReDoS MSC_PCRE_LIMITS_EXCEEDED: PCRE match limits were exceeded. SecRule TX:/^MSC_/ "!@streq 0" "id:'200004',phase:2,t:none,deny,msg:' ModSecurity internal error flagged: %{MATCHED_VAR_NAME}‘"
  • 17. 17 Bonus Some Ivan Ristic bypass in a nutshell  <Location /myapp/admin.php> # Allow only numbers in userid SecRule ARGS:userid "!^d+$« </Location>  /myapp/admin.php/xyz?userid=1PAYLOAD  /myapp/admin.php;param=value?userid=1PAYLOAD  SecRule REQUEST_FILENAME "@streq /myapp/admin.php"  Short names Apache running on Windows  Multipart Evasion ModSecurity CRS: Content-Type: multipart/; boundary=0000  http://bit.ly/PYp5G6
  • 18. 18 Merci/Thank you! Contact: jonathan.marcil@owasp.org @jonathanmarcil http://blog.jonathanmarcil.ca Slides: http://slideshare.net/ASF-WS/presentations
  • 19. 19 Références  OWASP Best Practices: Use of Web Application Firewalls https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_App lication_Firewalls  OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Proj ect  Web Application Firewall Evaluation Criteria Version 1.0 http://projects.webappsec.org/w/page/13246983/WAFEC%201%20HTML%20Version  ModSecurity Reference Manual https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual