Firewall dell'applicazione Web utilizzando l'analisi del codice sorgente dell'app Web

Naviga le tue risposte
3

Ho letto questa pagina: Categoria: OWASP Best practice: utilizzo dei firewall di applicazioni Web , e ho scoperto che WAF non può in genere rilevare attacchi logici.

Sappiamo che ogni applicazione web ha un numero di parametri di input. Penso che questi parametri di input e i loro valori validi associati possano essere estratti dal tool di analisi del codice.

Ora, la mia domanda è che possiamo usare gli strumenti di analisi del codice e trasmettere i loro risultati al WAF per rilevare alcuni attacchi logici come un esempio che è stato descritto in questa pagina: Vulnerabilità logiche e tecniche ?

Inoltre, vorrei sapere quali sono i vantaggi dell'utilizzo dell'analisi del codice con WAF?

Ho cercato su Google e non sono riuscito a trovare alcun WAF che utilizza l'analisi del codice per generare le sue regole o aumentare le sue prestazioni e diminuire i falsi positivi.

    
posta Patris 15.01.2018 - 08:52
fonte

3 risposte

0

Se è effettivamente possibile determinare i valori di input validi dall'analisi statica, è possibile utilizzarli per guidare la corretta convalida dell'input nell'applicazione. Tuttavia, con tale mancanza di convalida dell'input, la maggior parte degli strumenti di analisi statica non sarebbe in grado di determinare le risposte appropriate. I firewall di applicazioni Web vengono utilizzati per difendersi dalle vulnerabilità sconosciute e dai modelli comuni (ad esempio, XSS e SQLi principalmente).

    
risposta data 18.01.2018 - 04:10
fonte
0

I moderni firewall di applicazioni Web hanno la capacità di rafforzare la logica dell'applicazione studiando e allenandosi sui validi percorsi di esecuzione dell'applicazione e bloccando qualsiasi richiesta che non la segua. Ad esempio, supponiamo che una logica applicativa abbia le seguenti operazioni nell'ordine seguente:

  1. Scegli l'elemento
  2. Esegui pagamento
  3. Ricevi l'elemento

I WAF possono far rispettare i tre passaggi precedenti nell'ordine indicato sopra. Ciò significa che se un attacco tenta di eseguire quanto segue:

  1. Scegli l'elemento
  2. Ricevi l'elemento

WAF rileverà che il percorso valido non è stato seguito e blocca la richiesta. Ciò richiede che il WAF sia addestrato su tutti i percorsi validi dell'applicazione prima di imporre il blocco.

    
risposta data 18.01.2018 - 06:03
fonte
0

No: gli strumenti basati sul comportamento non identificheranno i percorsi logici in quanto l'unica informazione che hanno è l'input proveniente dalla rete. È possibile addestrarli per il meglio conosciuto e ciò che è considerato input errato, ma per identificare una logica sarà necessario comprendere l'intero flusso dell'applicazione e dei sistemi / domini secondari coinvolti.

L'altra cosa da considerare sono le responsabilità che un WAF non è lì per proteggere un'applicazione per gli attacchi logici: è lì per gestire gli attacchi delle applicazioni Web, per proteggere l'applicazione dagli attacchi logici è la responsabilità delle applicazioni.

    
risposta data 18.01.2018 - 20:57
fonte

Leggi altre domande sui tag

memorizzazione dei dati di uguaglianza e diversità - è normalmente crittografato? snort aggiungi più dati nel file di avviso