Проблема непрерывной защиты веб-приложений. Взгляд со стороны исследователей и эксплуатантов

. , - , : WAF ( , SolidLab) , WAF (@avpavlov, Solar JSOC).

, WAF.




SolidLab. – application security – offensive ( , , ) defensive ( SDLC – , , , WAF ).

-, . , SOC, WAF’ /. . :


, – (, – «» «» ), QA- security-: « » . «» : – , , , .

, ( ) . ( ) :


, - (RoR, Django, Spring, Struts, ASP.NET MVC ..) , , , , CSRF find/replace. , - , CSRF, SQL injection, XSS. , XML- (.. safe defaults).

:


sSDLC , .

whateverbox- , , aka Bug Bounty. , (. Vulners, WhiteSource, OWASP dependency-check), – , . .

/ – , . , -, ( ) , (, ), (, ) . , - , - ( ), , , , .

, / .

, , -:

  1. 1-day . – 1-day ( 0-day) , - .

  2. ( , ). – ( , , ).

  3. . – () , . , sSDLC, , , : Bug Bounty .

, , , ( WAF’ ), WAF'.

WAF’ ( ) ( benchmark WAF’ , ), , , . – WAF .

WAF

: WAF , , (injection/tampering).

:

  1. / . PATH URL. , URL- (, /do), “action”, – “page” “res”. / HTTP-.

  2. , . , HTTP - HTTP-.

, WAF’ – HTTP-, , , , .

:


, WAF , . , APEX x01, x02,… , , XML/JSON, base64, , , X-WWW-URLENCODED .

WAF

APEX : WAF // HTTP- ( URL, , ), .

, APEX x01, x02 .. , :


, WAF :


, WAF User Tracking[1] APEX- - , login-, login-, logout- — HTTP-.

, , APEX-, URL: XML-RPC, JSON-RPC, SOAP ..

WAF

, - ( injection-) , ( //OTP, , – , , DoS ). , – (. Insecure Direct Object Reference). «» -.

– ?

, , - – , , , , , .

, WAF’ , , , , .

  1. User Tracking , , . , (- , , logout- URL ..).

  2. gamer.ru


Source: https://habr.com/ru/post/J331786/


All Articles