Ho una domanda sugli attacchi XSS e SQL-injection. Tutti i metodi di prevenzione contro questi attacchi di cui ho letto dipendono dal cambiare l'applicazione stessa. Convalida, filtraggio e codifica input / output, nel caso di SQL injection mediante istruzioni parametrizzate ecc.
Esistono metodi che potrebbero essere applicati a livello di ambiente (rete, server, sistema operativo, server Web, server di database SQL) che potrebbero aiutare a proteggere da tali attacchi?
Come ha detto Arminius, un firewall per applicazioni Web (WAF) ( link ) è un servizio che si trova tra il cliente e il tuo server che tenta di filtrare il cattivo traffico. Il problema con i WAF è che sono soggetti a falsi negativi (che consentono il traffico dannoso). Ad esempio, un WAF potrebbe essere in grado di bloccare un tentativo di iniezione SQL per "OR 1 = 1; - 'ma consenti' OR 3 < 4; - '
Raccomando alle persone di vederle come cerotti, piuttosto che una soluzione finale. Usali per fornire un ulteriore livello di difesa mentre lavori sulla patch dell'applicazione stessa.
Come @Arminius menzionato in un commento, ci sono prodotti (software o hardware) chiamati "firewall di applicazioni Web" (WAF) che controllano il traffico di rete prima che colpisca il processo del server web. Sfortunatamente, non sono davvero affidabili. Non solo ci sono bypass noti a qualche tipo di WAF, la protezione che forniscono è intrinsecamente un problema di blocco che potrebbe essere dannoso, senza sapere come sarà usato, il che significa che di solito hanno bisogno per essere configurato in modo conservativo per evitare falsi positivi. Inoltre, tendono a non essere aggiornati con la stessa rapidità con cui vengono scoperte nuove vulnerabilità; sono reattivi ai modelli noti di minacce, ma non sono generalmente proattivi. Inoltre, non possono proteggere da tutti i potenziali modi di rovinare un'applicazione web anche nel contesto di XSS e SQLi; Ho visto siti vulnerabili all'XSS tramite cose pazzesche come "se il parametro A valuta true , il parametro B verrà passato a eval ", che è stato molto stupido da parte dello sviluppatore ma non è qualcosa che un WAF potrebbe mai cattura.
Come parte di una strategia di difesa approfondita, i WAF hanno il loro posto, molto simile al software antivirus. Non sono adatti come alternativa a una corretta revisione della sicurezza, però. Oltre alle loro debolezze per alcuni vettori XSS o SQLi, sono anche totalmente incapaci di prevenire altri classici vulner delle applicazioni Web come CSRF, clickjacking o la fissazione della sessione, e non sono particolarmente propensi a catturare cose come l'inclusione di file arbitrari, il caricamento arbitrario di file, o l'iniezione del comando OS.
Spendi i tuoi soldi per chiedere a qualcuno che conosce la sicurezza delle app Web di esaminare il tuo sito molto prima di preoccuparti di guardare i WAF.
Leggi altre domande sui tag sql-injection xss